Stéphanie Antoine : Bienvenue dans Le Débat sur France 24 consacré à cette cyberattaque aux États-Unis. Des hackers ont attaqué la société Kaseya ce week-end paralysant plus de 1000 entreprises dans le pays. C’est une attaque par rançongiciel, un programme informatique qui paralyse les systèmes d’une entreprise et qui exige une rançon. Cette attaque est la dernière d’une longue liste sur le sol américain. Le géant de la viande GBS ou encore le gestionnaire d’oléoduc Colonial Pipeline, la compagnie de ferries du Massachusetts, des collectivités locales et encore des hôpitaux. Joe Biden a évoqué ces cyberattaques lors de sa rencontre avec Vladimir Poutine à Genève. Elles sont les nouvelles menaces d’aujourd’hui.
Comment expliquer l’ampleur de leur impact ? Jusqu’où peut aller cette menace ? Pourquoi les États sont-ils si vulnérables ? Comment se protéger ? Ces cyberattaques sont-elles finalement les outils d’une nouvelle guerre géopolitique entre les États-Unis, la Russie et la Chine ? On en parle tout de suite avec mes invités.
J’ai le plaisir d’avoir à mes côtés Bernard Benhamou. Bonjour.
Bernard Benhamou : Bonjour.
Stéphanie Antoine : Vous êtes secrétaire général de l’Institut de la souveraineté numérique [1]. Bienvenue à vous.
Également avec nous Nicolas Arpagian. Bonsoir et bienvenue. Enseignant à l’École nationale supérieure de la police et auteur de La cybersécurité aux PUF.
Est avec nous par Skype de Genève Jean-Marc Rickli, directeur des risques globaux émergents au Centre de politique de sécurité de Genève, coauteur de La guerre par supplétif, la transformation de la guerre au 21e siècle [Surrogate Warfare : The Transformation of War in the Twenty-first Century] chez Georgetown University Press. Bonsoir et bienvenue à vous également.
Jean-Marc Rickli : Bonsoir.
Stéphanie Antoine : On attend également, par Skype Rayna, Stamboliyska qui va nous rejoindre, qui est également une experte en cybersécurité.
Avant de démarrer je voudrais justement écouter le patron de l’entreprise qui s’est fait hacker, qui s’est fait attaquer ce week-end, le patron de l’entreprise Kaseya.
Patron de l’entreprise Kaseya, traducteur : C’est effrayant, croyez-moi. Quand je vous dis que nous sommes partout auprès des quelque 40 fournisseurs de services et des quelque 50 clients qui ont été touchés. Nous essayons d’aider, de faire tout ce qui est possible mais, pour ceux qui ne sont pas aidés, c’est effrayant pour eux parce que c’est l’inconnu.
Stéphanie Antoine : Nicolas Arpagian, pour faire un peu de pédagogie, tout d’abord qu’est-ce qu’on appelle justement ces rançons, ces systèmes de rançon après hacking. Est-ce que ces attaques deviennent de plus en plus la norme ?
Nicolas Arpagian : C’est un mode opératoire essentiellement crapuleux, c’est-à-dire que l’attaquant va faire en sorte d’envoyer un message – ça peut être par des pièces jointes, ça peut être par des liens infectés à l’intérieur d’un message ; un collaborateur, un agent de la structure destinataire va cliquer dessus et ça va démarrer le chiffrement d’un certain nombre d’équipements.
Stéphanie Antoine : C’est ce qui s’est passé ce week-end.
Nicolas Arpagian : Effectivement. On va attendre les investigations, mais le mode opératoire est totalement documenté sur le principe de ces rançongiciels [2]. La promesse c’est évidemment de mettre à disposition une clef de déchiffrement en échange du paiement d’une rançon. C’est globalement l’histoire telle qu’elle se déroule en principe.
Stéphanie Antoine : Les entreprises payent les rançons ?
Nicolas Arpagian : En tout cas, ce qui est certain c’est qu’une part des entreprises paye la rançon c’est pour ça que c’est une activité profitable pour les attaquants. Elle l’est d’autant plus que le ticket d’entrée est assez limité parce qu’un seul individu, en tout cas un petit groupe, peut conduire des opérations à destination d’un grand nombre d’entités sur une zone géographique importante, surtout que maintenant des gens élaborent des modes d’action offensifs et utilisent, en fait, mettent un peu comme des franchises ou, en tout cas, avec des supplétifs qui vont venir utiliser un outil qu’ils n’auront pas eux-mêmes développé mais qu’ils vont exploiter, reversant un pourcentage, une redevance, un peu comme une cotisation, à celui qui aura élaboré le mode d’attaque initial.
Stéphanie Antoine : On ne sait pas, pour l’instant, si Kaseya a payé ou va payer.
Nicolas Arpagian : Oui, effectivement. La seule chose, la particularité de Kaseya, vous l’avez dit, c’est un prestataire informatique dont le métier, précisément, est de centraliser le pilotage des systèmes d’imprimante, des serveurs, des ordinateurs. Donc en l’attaquant, par capillarité, ça amplifie de manière considérable le nombre de cibles et l’impact.
Dernière chose, vous l’avez certainement noté, l’attaque a débuté juste avant le week-end prolongé du 4 juillet, période évidemment plus en relâche dans les organisations, les entreprises et les collectivités aux États-Unis.
Stéphanie Antoine : Donc tout est calculé à vous entendre.
Bernard Benhamou, qui sont ces hackers ? J’ai bien vu que cette attaque avait été revendiquée par le groupe de hackers REvil.
Bernard Benhamou : À l’instant il était question du caractère effectivement crapuleux. L’un des problèmes des rançongiciels, ransomwares en anglais, c’est qu’on ne sait jamais de manière certaine quelle est l’origine de ceux qui l’ont fait et on ne sait jamais de manière absolue le motif. Il y a eu dans le passé, par exemple NotPetya [3], des attaques de ransomwares qui étaient en apparence crapuleuses mais qui avaient pour but d’affaiblir des pays, on l’a vu en particulier pour l’Ukraine et d’autres. On se rend bien compte, ce qu’a dit d’ailleurs Joe Biden il n’y a pas très longtemps, qu’on est face à des attaques de déstabilisation qui ne sont pas que économiques, qui sont clairement, aussi, politiques.
Stéphanie Antoine : Ce sont des Russes ou pas ? Pour l’instant on n’a pas la réponse à cette question.
Bernard Benhamou : Pour l’instant. C’est ce qui semble être le plus évident. La vraie question c’est : sont-ils pilotés de manière politique ou agissent-ils, entre guillemets, comme certains « hackers patriotes », de façon soi-disant autonome ? Ça sera une des questions qui se poseront.
Nicolas Arpagian : Joe Biden a fait le distinguo dans ses dispositions en disant que même si on peut envisager que des équipements, des infrastructures localisées sur le territoire de la Fédération de Russie ont été mis à contribution, ça ne signifie pas forcément que les autorités russes sont partie prenante pour susciter, organiser, faciliter. La seule chose c’est que maintenant il faudra qu’elles montrent leur bonne volonté dans la coopération policière et judiciaire internationale.
Stéphanie Antoine : On en parlera un petit peu plus tard. Peut-être que Vladimir Poutine n’est pas derrière tout cela, mais on ne sait pas encore tout à fait.
Rayna Stamboliyska vous nous avez rejoints. Vous êtes une experte en cybersécurité, auteure de La face cachée d’Internet : comprendre les enjeux du numérique. Bonsoir à vous et bienvenue.
Comment font-ils ces hackers, ce groupe de hackers REvil [4] ? J’ai vu qu’on parlait d’un comportement de cheval de Troie, je trouve ça assez intéressant.
Rayna Stamboliyska : D’abord bonsoir. Merci pour l’invitation.
Pour répondre à votre question il y a de très nombreuses façons de faire. Nous, en tant que défenseurs, dans ces situations-là, sommes dans la situation très difficile de devoir défendre partout alors qu’en face les cyber-méchants, si on veut dire ça comme ça, sont dans la situation d’avoir de la chance une fois. Là en l’occurrence, pour Kaseya par exemple, vous avez clairement des problèmes de gestion de vulnérabilités donc des technologies qui sont assez, on va dire, peu visitées en 2021 et après, ce que disait Nicolas Arpagian tout à l’heure, par capillarité ça s’est propagé finalement chez tous les utilisateurs de Kaseya.
Vous pouvez avoir des arnaques au président, c’est-à-dire quelqu’un qui se fait passer pour un PDG ou autre, qui est une arnaque beaucoup moins spectaculaire, peut-être, par rapport à un rançongiciel mais qui semble, en tout cas, générer beaucoup plus de bénéfices à des groupes on va dire d’obédience crapuleuse que le rançongiciel aujourd’hui.
Vous avez les fameuses pièces jointes vérolées sur lesquelles on clique alors qu’on n’aurait pas dû.
Stéphanie Antoine : Ça on connaît. Est-ce que ça se développe ? Est-ce qu’il y en a de plus en plus de ces groupes ?
Rayna Stamboliyska : Oui. Dans le sens où le ticket d’entrée est finalement très peu cher, la barrière à l’entrée, notamment lorsque la motivation est opportuniste et crapuleuse, est très basse, donc on arrive rapidement, si vous voulez, à rentabiliser son investissement de départ, on va dire, donc le ticket d’entrée dans ce monde délinquant. Après, comme d’habitude, on a transposé beaucoup de nos usages hors ligne en ligne en partie en raison de la situation sanitaire, ce qui, en fait, prouve encore une fois que le numérique a cette capacité d’amplification de démarches mafieuses, délinquantes, criminelles qui existaient avant et qui aujourd’hui, effectivement, se retrouvent fois 10, fois 100.
Stéphanie Antoine : Fois 10, largement amplifiées.
Rayna Stamboliyska : Largement oui.
Stéphanie Antoine : Jean-Marc Rickli, on en parlait il y a un instant, le président américain Joe Biden a déclaré qu’il avait demandé aux services de renseignement américains d’enquêter justement sur cette dernière cyberattaque. Si cette attaque s’avère être le fait des Russes, est-ce que Joe Biden doit réagir contre Vladimir Poutine ? Est-ce qu’il est sous pression ? Est-ce qu’on se retrouve là dans de la géopolitique finalement ?
Jean-Marc Rickli : Complètement dans de la géopolitique. Le problème du domaine cybernétique c’est l’attribution. Même si on peut prouver que ça pourrait venir de Russie, est-ce que ça provient d’acteurs indépendants qui sont sur le territoire russe ? Est-ce que ça provient d’acteurs qui dépendent du gouvernement russe ? Ou est-ce que ces attaques proviennent d’autres acteurs qui les font passer pour des attaques qui auraient débuté sur le sol russe ?
Stéphanie Antoine : Et c’est si difficile de remonter le fil ?
Jean-Marc Rickli : C’est un des problèmes clefs de l’espace cybernétique.
Pour en revenir à Biden/Poutine, au début du mois il y a donc eu la rencontre Biden/Poutine à Genève et l’un des domaines qui a été mentionné par Biden c’est notamment qu’il aurait mentionné à Poutine le fait qu’il y a 16 domaines, si vous voulez, 16 catégories d’infrastructures critiques [5] qui devraient être hors de portée des attaques. Donc on voit que ça devient un sujet hautement politique. Je pense que si des Américains peuvent prouver que le gouvernement russe est là-derrière, il y aura probablement une riposte, ce qu’on appelle le hack-back, ou alors ils vont trouver un moyen de signifier aux Russes le fait qu’il ne faut pas qu’ils recommencent. Le problème c’est vraiment l’attribution.
Stéphanie Antoine : Pourquoi, Nicolas Arpagian, les États sont-ils si vulnérables ? On n’a pas anticipé cette menace ?
Nicolas Arpagian : Là ce sont des entreprises. Pourquoi ? Parce qu’elles ont souvent opté pour la numérisation.
Stéphanie Antoine : État et entreprises. Parce que les États devraient protéger les entreprises.
Nicolas Arpagian : Bien sûr. En fait, les États le font par la réglementation. Lorsque Joe Biden a fait ou aurait fait cette liste d’infrastructures critiques et, au fur et à mesure, les pays. C’était déjà le cas avec le président Obama ; le président Trump avait publié ce qu’on appelle les executive orders c‘est-à-dire des textes exécutifs permettant justement d’établir des obligations concernant des domaines d’activité qu’on considère comme vitaux pour la continuité de l’activité nationale s’ils devenaient défaillants ; ce sont des domaines civils que ce soit les télécommunications, la banque, la santé, l’alimentation, l’eau, l’énergie. La France également s’est dotée d’une réglementation.
Stéphanie Antoine : On voit bien qu’il y a des failles dans le système.
Nicolas Arpagian : Bien sûr parce que la difficulté c’est que le système informatique est un système humain, c’est-à-dire qu’il n’a pas forcément été conçu originellement avec une culture de robustesse. Prenez l’exemple de l’industrie aéronautique : on ne met pas un avion en l’air et surtout on ne commercialise pas cet avion tant qu’on n’est pas certain d’un taux de garantie de sécurité frôlant les 100 %.
L’industrie informatique s’est créée justement sur l’apprentissage et l’amélioration en continu. C’est-à-dire que structurellement l’informatique comporte des défaillances, des faiblesses, des failles, donc on est dans une amélioration continue. La seule chose c’est que ce numérique est aujourd’hui dans le domaine industriel, dans le domaine commercial, dans le domaine de la santé, de l’énergie, donc effectivement on a démultiplié l’exposition aux risques.
Stéphanie Antoine : Il y a une vraie vulnérabilité, Bernard Benhamou, tout de même. On est de plus en plus dans le numérique, maintenant on va passer à la 5G, ça va affecter, je dirais, le quotidien de tout un chacun et il y a une vulnérabilité absolument énorme.
Bernard Benhamou : Absolument. C’est l’objet même du rapport [6] que nous venons de rendre dans le cadre de l’Institut sur les questions de souveraineté numérique et d’Internet des objets qui est notre futur. On a connu l’Internet mobile, maintenant on va être dans un Internet sur tous les objets qui nous environnent. Évidemment on se rend compte non seulement de notre vulnérabilité en tant qu’un individu mais en tant que société puisque maintenant, au travers de ces nouveaux outils que nous utiliserons – les voitures connectées, les systèmes de transport connectés –, il est possible d’avoir une attaque extérieure qui ne porte pas que sur l’argent, vous citiez effectivement les rançongiciels, mais sur les attaques physiques contre des personnes. Dans le cadre d’un rapport que nous avons rendu au ministère de la Défense on a établi qu’on pourrait avoir une attaque quasiment de type arme de destruction massive à coût zéro ou à coût marginal sans même qu’il soit besoin de poser un pied sur le territoire ennemi. On est dans un registre véritablement inquiétant. Les experts en cybersécurité, comme Bruce Schneier aux États-Unis, disent qu’on a collectivement à prendre en compte des scénarios de plus en plus noirs et évidemment, il y a eu ce qui a été rappelé à l’instant, une sorte de laisser-aller en termes de sécurité où l’utilisateur était un petit peu, ce qu’on dit dans nos métiers, le bêta testeur de toutes ces solutions technologiques ; quand l’utilisateur est une entreprise qui transporte des gens ou un système de santé qui peut interagir sur une pompe à insuline ou sur un pacemaker, on est là dans un tout autre registre.
Donc il y a nécessité, ce qu’a reconnu l’Union européenne il y a quelques mois, d’une véritable régulation sur les nouveaux systèmes de sécurité de ces nouveaux objets, au-delà des systèmes comme SolarWinds [7], ce qu’on a vu pour les entreprises, ou comme Microsoft Exchange qui a été attaqué apparemment par les Chinois.
Stéphanie Antoine : Bien au-delà. On en parlera d’ailleurs dans la deuxième partie. Rayna Stamboliyska, on a aussi l’impression qu’il y a une sorte de frontière poreuse entre ces hackers, ces bandits si je puis dire, et les services secrets des différents pays qui recrutent aussi, finalement, une partie de ces hackers ? Est-ce qu’il n’y a pas une espèce de frontière poreuse ?
Rayna Stamboliyska : C’est toujours délicat de porter un jugement en direction de comment tel pays ou telle entité recrute ses employés finalement.
La question en fait, si vous voulez, est qu’on arrive dans une situation où la coercition se déploie de façon très diverse. Avec les rançongiciels on a littéralement un cas qui est celui-là : au-delà de l’aspect financier on a vraiment l’aspect de « je te force à faire quelque chose, en tout cas je t’empêche de faire quelque chose puisque moi je veux que tu fasses autrement ». Il y a cet aspect-là, et Bernard Benhamou le rappelait à l’instant, malheureusement la violence vis-à-vis des individus est déjà là parce qu’on a eu une situation similaire en fin d’année dernière en Finlande où, en fait, les données de patients en soins psychologiques, psychiatriques, ont été, pour certaines, publiées en ligne et les individus eux-mêmes, donc des personnes déjà en situation de vulnérabilité, ont été aussi victimes de chantage de payer x milliers d’euros pour que leurs données ne se retrouvent pas...
Stéphanie Antoine : Et ils ont dû payer.
Rayna Stamboliyska : Certaines personnes, certains patients ont payé. Après, en fait, une fois que ce cas a été porté un peu à la vue et au su de tout le monde, la communauté des gens comme nous, des défenseurs, s’est mobilisée pour justement empêcher ça. Ce cas-là rejoint justement cette idée que l’objectif crapuleux est évident et facile à atteindre, mais comment est-ce qu’on structure plus loin, comment est-ce qu’on organise plus loin ? En fait un monde où les tensions politiques, géopolitiques, économiques, etc., finalement inondent vraiment le monde du cyberespace, le monde numérique qui fait partie intégrante de nos vies.
Quelle que soit la façon de recruter des gens, ça appartient à chaque service de renseignement et je ne suis personne pour juger de ça, mais il ne faudrait pas qu’on se plante de cible. La cible est comment on encadre, comment on prévient et comment on contient ces tensions-là, géopolitiques, géostratégiques aujourd’hui pour qu’elles ne nous pètent pas à la tronche demain, si vous me permettez cette expression familière.
Stéphanie Antoine : On en parlera dans la deuxième partie. Il nous reste une minute. Jean-Marc Rickli, que risquent-ils aujourd’hui ces hackers ? On en retrouve un certain nombre ?
Jean-Marc Rickli : Il faudrait déjà qu’ils soient identifiés. Après, s’ils sont basés en Russie, ils ne risquent rien ; on sait qu’ils sont protégés par le pouvoir donc ils ne risquent quasiment rien. Ce qui pourrait leur arriver, ce qui s’est passé il y a quelques mois, c’est que les services américains envoient des signaux clairs à ces hackers ; ça s’est notamment passé avant les élections américaines où les États-Unis ont envoyé des signaux clairs pour leur dire « si vous intervenez, vous interférez dans les élections américaines, on vous connaît, on aura les moyens d’avoir des représailles contre vous », mais dans les faits, s’ils ne quittent pas leur pays, ils ne risquent pas grand-chose.
Stéphanie Antoine : En tout cas merci beaucoup d’être avec nous. Restez avec nous. On se retrouve après une courte pause.
[Pause, annonces des émissions de France 24]
Joe Biden, traducteur : Bien sûr, le principe est une chose, il doit être étayé par la pratique. Les pays responsables doivent prendre des mesures contre les criminels qui mènent des activités de rançongiciel sur leur territoire. Nous avons donc convenu de confier à des experts de nos deux pays le soin d’élaborer des accords spécifiques sur ce qui est interdit et d’assurer le suivi des cas particuliers qui proviennent d’autres pays, de l’un ou l’autre de nos pays.
Stéphanie Antoine : Nicolas Arpagian, est-ce qu’on peut effectivement réguler tout ce domaine qui semble s’agrandir, comme Joe Biden vient de le dire, en définissant un certain nombre de secteurs, peut-être des secteurs clés ? Ça peut aboutir ?
Nicolas Arpagian : En tout cas ça fait longtemps qu’on en parle. En fait, ça a été initié dans le cadre des Nations unies. L’Organisation des Nations unies a initié, à partir de 2003, un sommet mondial sur la société de l’information, considérant justement que le numérique était une espèce de patrimoine commun. Comme on avait fait le sommet de Rio, le sommet de Kyoto, se dire après tout il faut des règles qui dépassent les questions régionales, les questions politiques, locales en quelque sorte. La seule chose c’est que ça n’a jamais abouti. En fait, il n’existe qu’un seul texte vraiment international en matière de cybersécurité, c’est une convention du Conseil de l’Europe [8], une convention de novembre 2001, consacrée justement à la lutte contre la cybercriminalité ; c’est le seul texte où on a aussi bien les États-Unis que des pays européens que des pays d’Afrique, évidemment la Russie, la Chine n’en font pas partie, mais on a fait un texte. Les États, en fait, apprécient ou appréciaient jusqu’à présent, de pouvoir évoluer dans un environnement où on s’affranchit du droit international. Le droit des conflits armés a codifié le droit de la guerre. Évidemment les femmes, les hommes se font la guerre depuis des siècles, mais désormais on a codifié avec la Convention de Genève le droit de la guerre. C’est vrai que maintenant on peut mettre en cause la responsabilité de chefs d’État dans le cadre de la Cour pénale internationale.
En fait, on avait un peu l’impression que les chefs d’État appréciaient d’avoir cet endroit où il y a un droit théorique, mais il n’y avait pas la capacité de poursuites tel qu’on le fait. Le président Biden l’a évoqué, vous aviez mentionné en ouverture le piratage d’une infrastructure pétrolière aux États-Unis, il n’empêche que manifestement l’administration américaine, qui s’est peut-être affranchie de certaines règles de droit, est allée faire fermer des serveurs informatiques, a récupéré une partie des rançons payées, et ça dans un délai extrêmement bref, qui colle mal avec les aléas de la coopération policière et judiciaire internationale.
Stéphanie Antoine : Qu’est-ce que ça veut dire ?
Nicolas Arpagian : Là, manifestement, que des services de renseignement ont été à la manœuvre, que le département d’État s’est agité et que quelques opérations un peu musclées ont été mises en place dans le cyberespace de manière à donner un signal en disant « ne venez pas, arrêtez de conduire ce type d’opérations parce que toucher au pétrole et à la distribution du pétrole aux États-Unis, c’est stratégique ». Étape suivante, ce le président Biden dit : « Maintenant vous ne pouvez pas dire que vous ne savez pas et, sur ces sujets-là, on sera vraiment en situation... »
Stéphanie Antoine : Qui avait attaqué des pipelines ?
Nicolas Arpagian : Pour l’instant n’avoue jamais, n’avoue jamais. Par contre, vous voyez bien que c’est désormais une nouveauté qu’à l’agenda de deux chefs d’État qui ont un agenda limité, un temps très contraint, le fait que la cyberattaque soit au programme, à n’en pas douter ça démontre la prise de conscience vitale de cette dépendance numérique.
Stéphanie Antoine : Bernard Benhamou, vous êtes d’accord ? Est-ce que finalement le cyberespace devient aussi important que le nucléaire ?
Bernard Benhamou : Totalement. Je reviendrai sur un point. Il a été évoqué un somment qui m’est cher puisque j’étais à l’époque sherpa de l’ambassadeur de France lors du sommet des Nations Unies sur la société de l’information ; il ne décidait pas des questions de cybersécurité ; à l’époque c’était essayer de déterminer la gouvernance des infrastructures critiques de l’Internet ; c’était ça qui était à l’origine.
Nicolas Arpagian : On était dans un message de paix et c’était dans le cadre de l’union internationale des Télécoms.
Bernard Benhamou : On était dans les Télécoms, c’était l’UIT [Union internationale des télécommunications] qui était à la manœuvre et il s’est trouvé, effectivement, que les pays souhaitaient organiser une sorte de Yalta du pouvoir sur les infrastructures critiques. Les questions de cybersécurité sont venues beaucoup plus tard.
Je voudrais revenir sur ce point en termes de régulation internationale. Il faut bien avoir conscience que le droit international, puisque le terme a été prononcé, je dirais que c’est une construction mentale. À un moment donné, sur ces questions, c’est d’abord des rapports de forces.
Stéphanie Antoine : Vous venez de le dire, c’est d’abord un rapport de forces.
Bernard Benhamou : C’est d’abord un rapport de forces technologiques, industrielles, politiques et militaires. Vous parliez tout à l’heure, vous posiez la question : est-ce que c’est aussi important que le nucléaire ou que les autres infrastructures militaires. À l’évidence, aujourd’hui, c’est un terrain de guerre et c’est un terrain de guerre beaucoup plus accessible dans des rapports asymétriques du faible au fort que ne l’étaient effectivement des guerres traditionnelles. Malheureusement nous n’avons pas pris assez tôt la mesure du besoin de régulation et on se rend compte, au travers de la régulation des plateformes, des grandes plateformes de l’Internet, qu’on a aujourd’hui, en gros, 10 ans de retard sur la régulation dans ces domaines.
Stéphanie Antoine : Et ces 16 secteurs dont parle Joe Biden vont effectivement être une sorte de première définition d’une zone régulée ?
Bernard Benhamou : Disons que c’est essayer a minima. Certains, parmi les Républicains américains, ont accusé Biden d’en choisir 16, sous-entendu d’abandonner tous les autres, c’est un conflit politique traditionnel.
Nicolas Arpagian : En France il y en a 12.
Bernard Benhamou : Fondamentalement, je dirais que c’est une prise en compte au plus haut niveau et un affichage au plus haut niveau qui est bienvenu après effectivement que l’administration américaine ait, pendant longtemps, nommé des cyber tsars ou cyber czars, c’est-à-dire des gens qui étaient chargés de la sécurité à l’échelle fédérale et internationale. Je pense qu’on atteint un niveau nouveau d’interaction politique. Je pense qu’aujourd’hui le message en direction de Poutine est plus clair qu’il ne l’a jamais été.
Stéphanie Antoine : Il y en a 12 en France.
Nicolas Arpagian : En France il y a une loi de programmation militaire et une directive européenne établit également ces secteurs d’activité. Donc, au fur et à mesure, toutes les plaques géographiques ont déterminé ce qui était vraiment critique, ces secteurs d’importance vitale ou de services essentiels.
Stéphanie Antoine : Rayna Stamboliyska, d’après vous les États peuvent-ils ramener un peu d’ordre ? Est-ce qu’ils vont jouer le jeu ? Et quid de la Chine parce que la Chine aussi est leader, il me semble, tout de même, dans ces technologies ?
Rayna Stamboliyska : Oui tout à fait. En fait ce qui vient d’être dit traduit, si vous voulez, à la fois le fait que pour beaucoup la cybersécurité est devenue un sujet régalien, quelque chose qui est au même titre que la défense du territoire, la justice, etc., donc qui ne se décide pas d’un claquement des doigts parce qu’on va faire une réunion. Et c’est aussi ça qui fait qu’il est aussi difficile, finalement, d’arriver à un consensus de normes, de règles d’engagement, etc., au niveau international. Bernard Benhamou mentionnait la directive NIS [Directive Network and Information System Security] au niveau européen, par exemple, qui est en révision et en discussion en ce moment qui, justement, vise à fournir ce socle de règles, d’exigences en cybersécurité, en direction d’un nombre toujours croissant de secteurs dits essentiels à la survie de la société. On est au-delà de vital, nation, etc. En fait, ce genre de discussion est éminemment politique. La façon dont moi je vais gérer les choses dans le pays dont j’ai la charge est très différente de la façon dont mon voisin va faire ces choses-là. À qui je vais confier quel type d’actions, d’activités, etc., en fait ça se discute, ça se négocie de manière très différente d’un pays à un autre. Donc imaginez ça, cette négociation permanente que nous faisons à 27 au sein de l’Union européenne, imaginez-la à l’échelle de 200 et quelque pays au niveau international où ces différences-là, encore une fois, sont à une puissance beaucoup plus importante qu’au niveau européen.
Stéphanie Antoine : En fait, vous dites que c’est impossible.
Rayna Stamboliyska : Ce n’est pas impossible, ça prend du temps, mais on a aussi besoin de cette négociation-là parce qu’on n’a pas du tout les mêmes histoires, les mêmes références, etc., de ce qui est à protéger, de ce qui est vital pour nous, etc. On est arrivé, justement, à un niveau où l’outil numérique en soi, c’est bon, on sait faire. Maintenant il faut joindre des paroles à ces réalités opérationnelles et dire « OK. Quand vous participez à la chaîne d’approvisionnement numérique de tel et tel acteur d’importance essentielle ou vitale, vous ne pouvez pas vous permettre de ne pas corriger des vulnérabilités, vulnérabilités qui ont été découvertes il y a je ne sais pas combien de mois. »
Stéphanie Antoine : Donc vous devez protéger.
Rayna Stamboliyska : Il faut à un moment donné, encore une fois, avoir une posture un peu plus assertive de par non seulement des États individuels, mais également au niveau international, de façon à ce que nous, en tant que société globale, globalisée et connectée, on puisse avancer. On est tous et toutes l’utilisateur final de quelqu’un.
Stéphanie Antoine : Un peu plus de volonté ?
Rayna Stamboliyska : Tout à fait.
Stéphanie Antoine : Jean-Marc Rickli, est-ce qu’il y a effectivement une nouvelle guerre entre les États-Unis, la Russie et la Chine ? D’ailleurs l’Europe, dans tout cela, où se place-t-elle ? Est-ce qu’on peut tout de même croire à un ensemble de discussions multilatérales, voire bilatérales entre la Russie et les États-Unis, pour faire avancer cette réglementation, cette régulation ?
Jean-Marc Rickli : Il faut différencier s’il y a une nouvelle guerre ou s’il y a une compétition, Il y a une compétition internationale, c’est clair, qui est en train de se réguler de manière multilatérale notamment à Genève à travers des discussions dans des groupes gouvernementaux d’experts où ils sont arrivés à une conclusion comme quoi le droit international s’applique en cas de conflits armés dans le domaine cybernétique. Ça se règle aussi en bilatéral avec ce que vous avez mentionné, le sommet Biden/Poutine.
Maintenant la question c’est dans quelle mesure ça transforme la guerre ? Ce qu’on voit c’est que l’espace cybernétique est un espace d’évolutions militaires en tant que tel. Ce qui le distingue, par rapport à d’autres, c’est que vous avez une incapacité d’empêcher la prolifération des armes cybernétiques. Une fois que vous avez écrit une ligne de code, c’est quasiment impossible de l’empêcher de proliférer. On l’a vu dans le passé. Par exemple, la première arme cybernétique qui a été inventée était un virus qu’on appelait Stuxnet [9], qui a visé les capacités iraniennes nucléaires et ça a fait détruire, si vous voulez, les centrifugeuses.
Que voit-on dans cet espace et dans le domaine de la guerre ? On voit de plus en plus que la technologie, parce que dans le domaine digital elle devient de plus en plus autonome, peut être utilisée comme un supplétif. Pourquoi ? Parce qu’elle permet ce qu’on appelle le déni plausible, c’est-à-dire qu’elle permet à un État ou à un acteur de s’engager dans un conflit, d’exercer de la coercition, d’exercer de la violence, sans pouvoir prouver, en effet, que c’était l’acteur en question. Donc c’est un outil très important. Ce qu’on voit, qui est dangereux et qui devrait faire réagir nos dirigeants, c’est que ces types d’armes cybernétiques ne sont plus seulement les prérogatives des États mais aussi des acteurs non-étatiques et même d’individus. Et ça, ça augmente la puissance des individus.
Stéphanie Antoine : Donc ça veut dire, Nicolas Arpagian, qu’on pourrait avoir une sorte de terrorisme dans le cyberespace, ce n’est pas impossible ?
Nicolas Arpagian : On a même été étonnés. Dans la période des cinq années que nous avons traversées avec des attentats, à un moment il y a même eu une interrogation de savoir si des organisations terroristes allaient utiliser l’arme cyber. Ça n’a pas été le cas on a eu des appels pour, comment dire, défacer, modifier les pages d’accueil de sites internet ce qui est techniquement extrêmement abordable, qui était plus un élément d’agitprop. On a vu les organisations qui utilisaient l’arme numérique pour récupérer des financements de manière à pouvoir avoir leur activité monnayée. Par contre, effectivement, ça n’a pas encore été utilisé, mais il n’y a aucune raison objective que ça ne soit pas le cas à l’avenir.
Stéphanie Antoine : Dans cette guerre technologique, Bernard Benhamou, qui sont les plus forts ? La Russie, les États-Unis, la Chine ?
Bernard Benhamou : Dans l’ordre inverse, c’est-à-dire États-Unis d’abord. La force technologique et l’expertise est d’abord américaine. Après, effectivement, la Russie. Un rapport tout récent vient d’être rendu aux services américains disant que la Chine était très nettement surévaluée dans ce domaine. Peu importe !
Stéphanie Antoine : C’est vrai ?
Bernard Benhamou : C’est très difficile à mesurer, en tout cas on se rend bien compte que quand ils ont des plateformes avec, je dirais, une puissance comme celle des grandes sociétés chinoises Alibaba, Huawei, etc., par définition l’expertise qui peut se développer dans l’écosystème autour est largement suffisante pour créer des dommages et on l’a vu. Il faut aussi remarquer que les États utilisent maintenant ces moyens aussi à des fins d’espionnage. Récemment les serveurs de Microsoft Exchange ont été largement affaiblis par, effectivement, des systèmes de failles qui ont été utilisés, apparemment, par les services secrets chinois.
Par définition je dirais que la porosité entre la sphère crapuleuse, que nous évoquions au tout départ, et les renseignements est totale dans ces domaines. Les mêmes outils peuvent être utilisés dans un cas à des fins géopolitiques ou stratégiques et, dans d’autres cas, à des fins crapuleuses.
Stéphanie Antoine : Donc ça rend la régulation beaucoup plus compliquée.
Bernard Benhamou : Ça rend la régulation beaucoup plus compliquée. Il n’y a pas de solution absolue. Je citerais une phrase d’un certain Steve Jobs, peu avant son décès, qui disait que la cybersécurité c’est un jeu du chat et de la souris. Le problème c’est qu’on ne sait jamais qui est le chat et qui est la souris. Il le disait alors même qu’il était à la tête d’une des plus importantes sociétés de la planète. On voit bien que c’est une inquiétude constante. Je pense effectivement que d’un point de vue de régulation et d’encadrement, on en a parlé, et d’un point de vue de sensibilisation, qu’on est très loin dans ces domaines. Il n’y a pas de danger absolu et il n’y a pas de solution absolue. Je pense que les deux, malheureusement, sont vrais.
Stéphanie Antoine : Mais c’est une arme puissante. Rayna Stamboliyska, est-ce que dans cette compétition technologique il peut y avoir, je dirais, encore de la surenchère ? J’ai vu qu’on parlait d’ordinateurs quantiques. Est-ce que la recherche autour des ordinateurs quantique a à voir avec une puissance de feu encore plus importante ? Est-ce que ça va rendre effectivement celui qui aura ces ordinateurs encore plus puissant que les autres ? Est-ce qu’on va vers une puissance de feu encore plus forte ?
Rayna Stamboliyska : Oui. La suprématie technologique, la course à la suprématie technologique est un vrai sujet. J’aimerais juste qu’on replace les choses aussi dans la dimension paix. Jusqu’à présent on a beaucoup parlé de temps de guerre, or, heureusement pour nous tous et toutes, ça fait des décennies qu’on vit en temps de paix. Toute la difficulté, tout ce qu’on vient de se dire jusqu’à présent, est d’autant plus augmentée qu’on parle de tous ces événements qui surviennent aujourd’hui en temps de paix.
Jusqu’à présent les doctrines qu’on a vu apparaître côté américain, côté chinois, côté russe, etc., concernent notamment le temps de guerre et c’est là où on arrive aussi à la question que vous posiez tout à l’heure de l’attribution, de la difficulté de dire qui est coupable d’avoir commis quelque chose. Il vaut toujours mieux nommer les coupables que les chercher, c’est beaucoup plus simple, mais surtout ça traduit, si vous voulez, une vision politique. Il n’y a jamais de fumée sans feu et là, en fait, quand on pointe le doigt vis-à-vis d’un autre État et qu’on dit « c’est machin qui a fait ça », ce qu’on traduit c’est une tension qui existe sans pour autant, en tout cas pour l’instant, que ça se traduise, que ça bascule dans une déclaration de guerre on va dire un peu plus classique qu’on a aujourd’hui.
Stéphanie Antoine : Il peut y avoir des représailles par exemple, une frappe ?
Rayna Stamboliyska : Tout à fait. La question, toute la difficulté, encore une fois, de négocier, en fait comment on répond à qui est le chat, qui est la souris dans chaque situation, elle vient aussi parce qu’on a cette histoire de quelle proportionnalité ? Comment est-ce que je qualifie cette action-là sachant que la seule chose que je puisse faire c’est, en fait, déclarer, basé sur je ne sais pas exactement quoi d’un point de vue public, que machin a fait ceci ou cela.
Stéphanie Antoine : En fait on est encore dans le rapport de forces.
Rayna Stamboliyska : Toujours.
Stéphanie Antoine : Il nous reste deux minutes, pardon de vous interrompre. Je voudrais quand même conclure avec Jean-Marc Rickli. On parle des États-Unis, de la Chine et de la Russie, justement l’Europe, où se place-t-elle d’un point de vue technologique ? C’est encore un nain ?
Jean-Marc Rickli : Dans le domaine de ces technologies-là et des technologies émergentes, on n’a pas parlé d’intelligence artificielle, en effet l’Europe est à la traîne, ce qui est un peu un paradoxe. La plupart des chercheurs, dans ces domaines, sont européens mais après ils s’expatrient, notamment aux États-Unis. Ce dont on n’a pas discuté et qui est quand même à noter : lors du dernier sommet de l’OTAN il y a quelques semaines, deux semaines en arrière, les dirigeants de l’OTAN se sont mis d’accord pour élargir l’étendue de l’article 5, qui est un article de défense collective, aux domaines cybernétiques. Donc l’année prochaine l’OTAN va publier un nouveau concept stratégique et probablement la dimension cybernétique fera partie du domaine réservé, si vous voulez : si on attaque un État membre de l’OTAN dans ce domaine-là, ça pourra amener à une réponse collective de la part des États-membres de l’OTAN. Donc là, automatiquement, les États européens sont concernés par ce qui se passe et l’Union européenne également.
Stéphanie Antoine : En tout cas ça va être difficile à mettre en œuvre. Je vois le sourire de Bernard Benhamou et de Nicolas Arpagian sur ce plateau.
Merci beaucoup à tous les quatre d’avoir participé à cette émission. Par Skype, de Genève, Jean-Marc Rickli. Également Rayna Stamboliyska. Bernard Benhamou bien sûr et Nicolas Arpagian. Merci à vous de nous avoir suivis.