Le numérique et le cyber sont à la mode, preuve en est l’attention de plus en plus forte portée aux nombreuses attaques. Mais ce monde est aussi mal connu et mal compris, du fait notamment de sa complexité technique. Olivier Kempf décrypte le cyber afin de mieux l’appréhender.
Cet entretien est la retranscription d’une partie de l’émission podcast réalisée avec Olivier Kempf. L’émission est à écouter ici.
Jean-Baptiste Noé : Vous êtes général 2e section et avez été en charge de la cyberdéfense de l’armée de terre. Qu’est-ce que le cyberespace ? Est-ce uniquement l’informatique ou est-ce que ça va au-delà de cette question ?
Olivier Kempf : Le cyberespace est à la fois partout et nulle part. Il y a une grande opacité dans le cyberespace, qui permet des calculs stratégiques et une conflictualité. C’est l’interconnexion de tous les réseaux informatiques, plus large qu’internet parce qu’il existe des réseaux privés qui n’y sont pas forcément liés. Ce n’est pas un espace géographique, mais bien stratégique car différents acteurs font des actions criminelles, offensives, défensives, pour faire prévaloir leur intérêt. C’est un espace de conflictualité en 3 couches. La couche matérielle physique, ce sont les objets, ordinateurs, clés USB, bornes wifi, antennes 3G ou satellite, rétroprojecteurs qui transmettent du signal par un réseau intérieur, cartes bleues… des objets physiques qui permettent de faire fonctionner ce cyberespace. La 2e couche est la couche logique ou logicielle avec les codes, les protocoles, ce qui fait fonctionner les machines et ce qui permet aux machines de communiquer entre elles, on est dans l’ordre du protocole. On peut y faire tout un tas de choses, y compris malveillantes. La 3e couche, cognitive, sémantique ou informationnelle, c’est l’ensemble des données et des informations qui circulent dans le cyberespace. Il y a tout un tas d’action de subversion qui visent la psychologie des acteurs par leur sabotage.
À lire aussi : Crime organisé et cyber
JBN : Le numérique touche les particuliers depuis les années 2000 mais les ordinateurs existaient dès les années 60-70. Les réflexions stratégiques sur ces questions sont-elles récentes ou y pensait-on à l’époque ?
OK : Oui l’informatique existe depuis longtemps mais nous vivons une révolution informatique en plusieurs vagues depuis les années 80. Milieu des années 80, la 1e révolution a été l’ordinateur individuel : avant, les ordinateurs appartenaient aux organisations, IBM etc. 2e vague : au milieu des années 90, internet, le protocole TCPIP qui a permis à chacun de ces ordinateurs individuels de dialoguer avec les autres. La 3e vague au milieu des années 2000 c’est la capacité de produire du contenu visible par tout le monde. Avant la communication se faisait de point à point, puis sont apparus les blogs, sites, grandes plateformes et réseaux sociaux. Depuis les années 2010 on est dans une 4e vague, de la transformation digitale avec ultra-décentralisation, ultra-mobilité, ultra-permanence, symbolisée par le smartphone qui sert à bien d’autres choses qu’à téléphoner. Le numérique est à la base des chiffres et donc à la base de l’informatique, alors que le digital c’est le doigt, qu’on va poser sur un smartphone, c’est centré sur l’usager. Ce mode digital me semble plus tourné vers nos pratiques sociales car le cyberespace est d’abord un espace social qui transforme radicalement la société, c’est cette socialité qui fait que ce cyberespace est si important, il incorpore le phénomène social de la guerre et de la conflictualité. Donc s’il y a des activités sociales via le cyberespace il y a aussi la conflictualité. La DARPA qui est la grosse agence de recherche américaine a commencé à réfléchir à ces protocoles de réseau au début des années 60 parce qu’elle était inquiète du développement de l’école cybernétique soviétique, juste après Spoutnik la conquête de l’espace etc. Il y a un intérêt assez précoce des militaires de toute une nation pour ces questions. Brzezinski le géopolitologue a sorti son livre La révolution technétronique en 70 où il pressent que l’informatique en réseau va changer le rapport de force entre les 2 grands. Les Américains ont lancé la révolution des affaires militaires avec la guerre réseau-centrée, première incorporation de cette technique d’informatique en réseau dans la conduite des opérations. La France s’est penchée sur ces questions cyber-stratégiques à partir du milieu des années 2000, le rapport Laborde, le livre blanc de 2008, surtout le tournant de celui de 2013 et on a maintenant une revue stratégique qui mentionne régulièrement le cyberespace. C’est un phénomène qui vient de loin qui est monté en puissance, accompagné par la réflexion militaire stratégique géopolitique.
JBN : Quand on parle de cyberespace, on pense au virtuel, on pense au Cloud. Pour autant c’est complètement inscrit dans l’espace et sur les questions géopolitiques il y a la question des serveurs, des lieux où les serveurs sont stockés et donc des cibles potentielles en cas de bombardement, et puis la question des câblages sous-marins notamment qui peuvent aussi être espionnés. C’est en fait profondément inscrit dans l’espace…
OK : C’est la couche physique. Il y a l’infrastructure technique, matérielle, câbles, serveurs, grands centres de routage, XP, les points d’échange internet, les fermes de serveurs qui couvrent plusieurs hectares, le cyberspace consomme énormément d’électricité. Il faut prendre en compte la production électrique qui est tangible.
À lire aussi : Assises recherches stratégiques : Covid et cybermenaces
JBN : Au Canada par exemple, il fait frais donc chercher ça c’est un atout pour refroidir les serveurs et en même temps il y a la présence de sources d’eau qui permettent d’avoir une électricité peu chère pour avoir un avantage concurrentiel sur les questions de cyberstratégie…
OK : Oui, Facebook a monté une ferme de serveurs en Islande pour bénéficier des conditions météo. Se pose la question des frontières : on a l’impression partiellement vraie d’un espace sans frontières, or on s’aperçoit qu’il y a des stratégies politiques de la part des grands acteurs qui jouent en première ligue du cyberespace, qui veulent contrôler leurs frontières sur les domaines physique, logique et numérique. Toute la question actuelle de la souveraineté numérique, c’est cela : c’est l’indépendance, être maître à l’intérieur de mes frontières, reprendre le contrôle sur quelque chose qui est apparemment par nature, extrêmement évanescent et transnational. C’est un des enjeux et on observe plusieurs stratégies selon les différents acteurs.
JBN : On a l’impression que des entreprises comme Google ou Apple sont plus puissantes en termes de poids financier et politique que les Etats, qui essaient de reprendre la main. Les données peuvent être revendues ou réutilisées dans ce rapport entre entreprises cyber. Quel est aujourd’hui celui qui contrôle l’autre ?
OK : Oui les grands acteurs du cyber ont acquis une puissance financière incommensurable, du jamais vu. Dans la décennie 2010 ces grands acteurs sont plus puissants que bien des Etats, les réserves monétaires de Google ou d’Amazon dépassent le PIB de la Tchéquie, ce sont des volumes incroyables et des puissances capables d’influencer les Etats et de se soustraire à leur pouvoir, l’évasion fiscale. Maintenant il y a une prise de conscience de la concurrence entre les Etats, objets politiques traditionnels, et ces acteurs du numérique, puissances aux effets politiques. C’est très préoccupant et stratégique. On parle aujourd’hui de souveraineté numérique à cause de cette prise de conscience. Il y a les mastodontes économiques des GAFA et des BATX, les 4 grands acteurs chinois. Mais on observe des stratégies de coopération, d’hybridation, des alliances entre les acteurs numériques et les Etats, aux USA, en Chine, Russie, Israël : seuls les Européens ne se sont pas rendu compte de ces relations troubles de coopération et de lutte de pouvoir entre ces grands acteurs et les Etats.
JBN : Dans l’armée de terre française, une partie des opérations dépendent du GPS, système américain. Un caporal au Mali peut avoir son téléphone portable avec lui et on peut savoir où il se trouve et l’écouter. Est-ce qu’il n’y a pas un danger pour toute armée d’être espionnée ou dépendante de groupes ou de pays étrangers ?
OK : En effet. Le GPS est, sinon privatisé, du moins nationalisé par les Américains, c’est un système de satellites américains. Un tas de pays, d’armées, de systèmes d’arme ou industriels sont fondés sur le GPS au point que la DARPA a lancé un projet de géolocalisation sans GPS au cas où le réseau serait détruit et empêche le fonctionnement des armées. Mais ce n’est pas le seul sujet : récemment, dans des exercices de l’OTAN dans les pays baltes, on a vu des agressions sur les portables de soldats en manœuvre, qui venaient de Russie. Le smartphone n’est que le bout actuel de l’histoire, il y aura demain encore plus d’objets connectés, avec un risque de fragilité. En Suède ils en sont à tous se faire greffer sous la peau du poignet des puces qui permettent de payer, de prendre le métro et de faire toutes leurs opérations, ils considèrent que c’est un gain de vie plus pratique que d’avoir un objet distinct. On a une conjugaison de l’informatique et du vivant, très inquiétante.
JBN : On arrive au transhumanisme, on n’est pas encore dans la modification de l’être humain mais en tout cas on lui ajoute des choses qui font que c’est un peu un homme augmenté…
OK : Je me méfie des mots de transhumanisme et d’homme augmenté, des fantasmes sur l’IA, les professionnels sont plus mesurés. Le cyberespace c’est l’interconnexion de réseaux, un espace social qui rentre de plus en plus dans nos vies. C’est nos pratiques sociales qui vont être de plus en plus transformées. On n’est pas dans du transhumanisme, juste dans une réflexion de société, même si ce phénomène civilisationnel est inquiétant. Il s’agit juste de bien poser les termes du débat plutôt que de partir dans une idéologie.
À lire aussi : Etats attaqués dans le cyber : exemple du Chili
JBN : On a en mémoire l’attaque russe sur la Lettonie, dont le système bancaire avait été bloqué, donc un Etat peut ainsi paralyser l’armée, les banques, les administrations. Comment se prémunir de ce genre d’attaques ?
OK : Les agressions sont de 3 types. La première attaque c’est l’espionnage et nous ne cessons de nous faire espionner, de nous faire voler nos données de façon fugace ou malveillante. Ensuite il y a le sabotage. Le dernier c’est la subversion. Depuis 10 ans je lis des auteurs qui disent qu’un pays peut se faire paralyser par un cyber-Pearl Harbor. En 2007 l’accès à internet a été bloqué pendant un jour ou 2 mais le pays ne s’est pas écroulé, ce qui ne veut pas dire que ça n’arrivera pas. Peut-être qu’on n’était pas encore assez immergés dans ce cyberespace, qu’aujourd’hui il y a plus de risques mais d’un autre côté il y a tant de pratiques de cyberespace etc. qu’il serait difficile de chercher à maîtriser l’ensemble de ces pratiques. Au fur et à mesure que vous développez la pratique numérique vous augmentez les capacités d’attaque mais aussi la difficulté de l’attaque. Les Etats prennent des mesures. Le livre blanc de 2013 a été suivi d’une loi de programmation militaire qui a spécifié des obligations aux opérateurs d’importance vitale, dont la liste est définie par décret. L’ANSSI, agence nationale de sécurité des systèmes d’information, est l’agence de cyberdéfense de l’Etat et tous les opérateurs d’importance vitale ont des obligations de défense cyber et de coordination et de coopération avec elle pour durcir leurs systèmes, prévoir des systèmes de résilience, déclarer les incidents, partager les informations. La loi de programmation militaire 2019-2025 augmente les obligations aux acteurs pour augmenter notre défense.
JBN : Quelle est la place du cyber dans la stratégie ou les moyens de l’OTAN pour se protéger ou pour attaquer ?
OK : Depuis une dizaine d’années l’OTAN a pris en compte cette menace, défi de sécurité émergent, dès le début et a mis en place tout un tas de choses aux sommets de 2014 et 2016. Une agression majeure pourrait engager l’article 5, la clause de défense collective. Des ambigüités sont laissées à dessein par l’OTAN, parce qu’il est toujours très maladroit de dire clairement toutes ses capacités de réaction. On ne connaît pas le seuil et l’OTAN se garde bien de dire quel est le seuil de déclenchement d’une part et la réaction, seulement cybernétique ou dans le monde physique, d’autre part. Il n’empêche qu’il y a un commandement de coordination du cyberespace, une montée en puissance, une prise de conscience de la nécessité de faire des choses. Cela étant le cyberespace appartient au cœur de souveraineté et on y partage peu : comme c’est la capacité à garder le secret comme ses capacités et garder l’indépendance de décision, quand je partage mes moyens de cyberespace je m’affaiblis moi-même. Si vous avez un dispositif très solide vous allez hésiter à le partager avec des gens qui n’en feraient pas bon usage, ce qui relativise le phénomène des alliances dans le cyberespace qui fait que les partages sont limités, bilatéral. On ne va tout partager dans l’OTAN parce que dans le cyber ce n’est pas comme ça que ça se passe.
JBN : Avec l’OTAN il y a 2 autres grands acteurs étatiques la Russie et la Chine. Si on prend le cas chinois comment aborde-t-il cette question, ont-ils aussi des géants du cyber qui peuvent avoir un poids mondial ?
OK : C’est le BATX ce dont je parlais tout à l’heure. La Chine a réussi à bâtir une souveraineté face aux US, une grande muraille numérique sur les 3 couches, ils contrôlent très bien les points de sortie de l’internet chinois par rapport au point d’entrée sur la couche logicielle avec justement toute cette montée en puissance des grands acteurs, et puis sur l’IA les efforts qu’ils font sont gigantesques, ils sont aussi bons voire meilleurs que les Américains et on est au courant de l’espionnage économique et du contrôle de la population. Si vous tapez des recherches Google à Pékin, vous n’avez pas les mêmes résultats qu’à Paris pour « Tiananmen 89 » par exemple. On a très peu de cas avérés de sabotage, on a quelques cas contre des tibétains en exil, contre Taïwan mais on a peu d’actions très malveillantes contre les Européens, les Russes, les Indiens ou les Américains, mais ils font beaucoup d’espionnage. Les Russes ont une stratégie qui se concentre principalement sur la couche sémantique informationnelle du cyberespace : ils ont une grande culture du renseignement et le cyberespace est le moyen de développer leur culture de renseignement mais aussi d’influence. On accuse les Russes d’être intervenus dans la campagne présidentielle américaine et il est très probable que là on ait des phénomènes de subversion. On est en subversion donc ils sont sur ces couches très hautes du cyberespace parce qu’ils sont clairement plus faibles dans les couches logique et physique.
JBN : Un peu de prévision de ce qu’il pourrait se passer pour vous les 2-3 grandes tendances dans le cyberespace dans les décennies à venir ? Qu’est-ce que vont être les grands enjeux ?
OK : Les grands enjeux c’est d’abord la transformation digitale, l’internet des objets, le big data, l’IA, la robotique, la blockchain, l’impression 3D, tous ces phénomènes centrés sur les usages de chacun. Ça accélère la transformation de nos sociétés et pose un tas de questions d’autant que c’est contradictoire avec une approche classique de la cybersécurité, celle de la forteresse à la Vauban avec de plus en plus de contrescarpes etc. Mais dès que vous avez une multitude d’acteurs avec un smartphone, privatisé, il y a une hybridation des systèmes et les organisations sont mal à l’aise car il faut conjuguer quelque chose d’ultra mobile et décentralisé avec la protection, extrêmement restrictive. Un côté restrictif et un côté libérateur ça pose problème c’est le grand défi auquel nous faisons face. Le 2e grand défi ce sont les techniques d’IA, on voit bien aujourd’hui qu’avec toutes les techniques d’apprentissage-machine, il y a de nouvelles problématiques de leurrage, de reconnaissance avec des systèmes très évolués d’ingénierie sociale de masse etc. Une technique émergente apporte autant de positif que de négatif, ce qui va nous animer sur les 5 à 10 prochaines années. Il y aura probablement de nouvelles révolutions, on s’interroge sur l’effet de la blockchain qui est un instrument d’authentification de la confiance donc c’est quelque chose auquel je crois beaucoup même si on ne sait pas encore comment mettre ça en œuvre. Dernier point, la 5e vague sera l’informatique quantique, qui sort à peine des laboratoires aujourd’hui.
À lire aussi : Les cyberattaques sur les entreprises et collectivités territoriales françaises : un état des lieux pour de nouvelles réponses ?