Fermer

  • AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Actualités > Technologies > Nébuleuse et dangereuse cybersécurité nationale

Nébuleuse et dangereuse cybersécurité nationale

Mêlant justice, sécurité intérieure, défense et renseignement dans un flou artistique, l’enjeu cybersécuritaire exacerbe les rivalités entre administrations fédérales américaines et menace les libertés électroniques.

Électrodollars

De 2007 à 2008, les réseaux informatiques gouvernementaux et industriels des États-Unis ont été victimes respectivement de 38 000 à 72 000 incidents : attaques, intrusions, pertes, vols et piratages de données. Dans son évaluation des niveaux de sécurité et de résilience des systèmes informatiques pour l’année fiscale 2007, le Congrès avait attribué un « C » à l’ensemble des administrations fédérales, « F » à l’Office de Régulation Nucléaire et au Département du Trésor, « D » au Pentagone, « A » au Département de la Justice...

D’où un plan de cybersécurité nationale - initié par l’ex-président George W Bush et renforcé par son technoïde successeur Barack Obama - portant sur cinq grands axes :

  • la recherche & développement orientée cybersécurité imbriquant secteur informatique, industrie militaire et laboratoires universitaires,

  • la protection et la résilience des infrastructures réseautiques vitales (administrations fédérales, électricité, transports, information & médias, finance, etc)

  • le contre-espionnage industriel en réseaux,

  • le développement de stratégies anti-cybercriminelles globales,

  • l’élaboration de standards pour la protection physique et numérique des données personnelles, administratives et industrielles.

     

L’administration Obama, le Pentagone, les milieux académiques et ceux industriels ont également été fortement séduits et convaincus par les pertinentes recommandations du Center for Strategic and International Studies dans Securing Cyberspace for the 44th Presidency, document empreint d’une profondeur voire d’une vision « cyberstratégique ».

D’ores et déjà, le secteur de la cybersécurité enregistre une croissance annuelle de 7 à 8% depuis 2003 soit deux fois mieux que le secteur des TIC dans sa globalité. Selon le cabinet de prévisions INPUT, les investissements cumulés de l’état fédéral dans ce masterplan cybersécuritaire passeront de 7,4 milliards en 2008 à 10,7 milliards de dollars en 2013 (+44%). Des acteurs traditionnels de la cybersécurité comme McAfee et Symantec sont désormais confrontés aux grands noms de l’industrie militaire : Boeing (Cyber Solutions), Lockheed Martin (Information Systems & Global Services), Raytheon (Information Security Solutions) et L3 Communications (Cybersecurity Units), pour ne citer qu’eux. BAE Systems, General Dynamics, l’Université John Hopkins, Lockheed Martin, Northrop Grumman, Science Application International et Sparta - tous généreusement subventionnés - rivaliseront chacun d’imagination par cycles semestriels au sein du Cyber Range Startup, laboratoire cybersécuritaire et incubateur d’innovations crée et supervisé par le DARPA, le fameux centre de recherches du Pentagone.

De nombreux analystes technologiques ou militaires évoquent passablement un « cyberplan Marshall » ou quelque keynésianisme électronique censé amortir les effets de l’actuelle dépression économique. En fait, la cybersécurité est aussi le nouvel eldorado de l’intelligence économique d’Oncle Sam : à défaut de circonscrire et d’intercepter efficacement les démons de la toile, les synergies technologiques entre recherches universitaires, privées et militaires seront hautement bénéfiques pour les applications civiles hardware, software et netware et boosteront d’autant une industrie informatique américaine déjà en pointe.

Côté européen, chaque nation concocte ses lotions cybersécuritaires en solitaire face à une menace qui n’a pour seule limite que la pervasivité des protocoles. Dépourvue d’une industrie informatique matérielle et logicielle digne de ce nom et a fortiori d’une réelle volonté politique dédiée à l’enjeu cybersécuritaire, le Vieux Continent peinera longtemps à produire une masse critique intellectuelle en matières d’infosécurité et de cyberstratégie. Cependant, ne nous leurrons pas : côté américain, le diable sommeille également dans la Matrice...

Le code et le texte

Déclenchée à dix milles lieux d’ici, une sournoise cyberattaque paralyse puis infecte sévèrement les réseaux militaires ou gouvernementaux (comme ce fut réellement le cas pour le ministère britannique de la défense en janvier 2009), les administrateurs systèmes mettent aussitôt en oeuvre des parades conformes aux procédures en vigueur et découvrent trop tard que la cyberattaque a été indéfiniment reroutée via plusieurs ordinateurs situés sur le territoire national et dans plusieurs pays étrangers grâce aux merveilles des botnets.

Dans un tel scénario, quelle autorité est chargée de l’enquête consécutive et/ou de l’élaboration d’un cadre cybersécuritaire légal : une cyberdivision du ministère de la justice, de la sécurité intérieure, de la défense ou d’une agence de renseignement ? Toutes ensemble ? Vive le chaos administratif ! Inerties bureaucratiques et rivalités internes en sus.

Quand un ordinateur ou un PDAphone devient une arme, les distinctions entre menace intérieure (impliquant police et justice) et menace extérieure (impliquant défense et renseignement), entre cybercriminalité, cyberterrorisme et cyberguerre (usant très souvent des mêmes modes opératoires), s’effacent promptement. Dès lors, les attributions intra-gouvernementales et les cadres légaux afférents devront être rapidement et drastiquement revus afin de mieux adapter la bureaucratie à l’enjeu cybersécuritaire. Méfions-nous du sempiternel discours ministériel jurant par tous les alinéas « qu’un dispositif approprié est déjà en place », la ligne de code Maginot du fonctionnaire ne dissuade point le hacker.

Quand bien même les services de renseignement seraient parfaitement informés de l’imminence d’un attentat, il leur est quasiment impossible de déterminer où, quand et comment il se produira. Motifs : le nombre de cibles est potentiellement infini et le coût d’un changement de cible est tout simplement négligeable pour l’action terroriste. Quelques mois ont suffi aux Panzer et aux Stuka pour défaire toute l’Europe pourtant très au fait du mode opératoire de l’armée allemande. L’expérience sécuritaire et l’histoire de la guerre nous ont amplement démontré à quel point des techniques, tactiques et stratégies totalement novatrices surprennent voire « hypnotisent » littéralement les appareils sécuritaires ou militaires visés. À leurs façons, cybercriminalité, cyberterrorisme et cyberguerre - concepts variants, poreux et connexes - nous réserveront aussi leurs sournoises embuscades et leurs déflagrantes malices durant les prochaines décénnies.

À quand une cyberattaque brutale aux effets prolongés des réseaux Bloomberg et Reuters afin de priver médias et places financières de leurs incontournables pourvoyeurs d’informations ? Imaginons les répercussions tous azimuts à l’échelle intercontinentale de plusieurs cyberattaques de précision contre Silicon Triangle (Bangalore, Chennai et Hyderabad), aujourd’hui considéré comme le gardien des infrastructures informatiques mondiales mais décrit par de nombreux spécialistes indiens en cybersécurité comme « un tigre édenté »...

Ennemi d’état

Dans maintes nations démocratiques - notamment celles occidentales - les armées et les agences de renseignement (CIA, MI-6, DST, etc) sont sollicités sur le territoire national lors d’exceptionnelles circonstances (désastres naturels, lutte anti-drogue, veille anti-terroriste, contre-espionnage, etc) et selon des conditions strictement définies par les constitutions ou par les gouvernements. De part et d’autre de l’Atlantique, le fétichisme sécuritaire de l’après-11 Septembre a effectivement conféré plus de pouvoir aux militaires et aux services de renseignement dans la sphère intérieure et suscité, à juste titre, de multiples interrogations et protestations.

Néanmoins, quoiqu’en disent plusieurs Cassandre, l’état prétorien n’a pas cours en Amérique du nord et en Europe. En guise d’exemple, la Turquie fait figure d’état prétorien moderne qui « se caractérise par un système politique dont l’armée occupe le coeur et assume potentiellement la direction », selon Levent Ünsaldi, docteur en sociologie à l’université de Paris I ; d’autres caractéristiques socioculturelles et politiques propres à la nation ottomane expliquent largement cet état de fait. Une patrouille militaire dans une aérogare, l’écoute téléphonique d’un caïd de la drogue et la surveillance électronique d’un attaché diplomatique ne font pas de la France, des États-Unis, du Royaume-Uni, du Canada ou de l’Allemagne un état prétorien... Du moins, pas encore.

Sous l’administration W. Bush, le plan de cybersécurité nationale était supervisé par le Homeland Security (le DHS ou département de la sécurité nationale), idem pour le National CyberSecurity Center (NCSC) placé sous son autorité et fraîchement crée par l’administration Obama. Savamment positionnée au croisement des agences de renseignement (CIA, NSA), du FBI et des départements de la justice et de la défense, la tutelle du DHS fournirait au NCSC un rôle fédérateur et coordinateur en matière de cybersécurité.

Début mars 2009, coup de théâtre : le tout nouveau directeur Rod Beckström de cette toute nouvelle agence démissionne brutalement de son poste et avance les deux raisons ayant conduit à cette décision : « la première est que les financements nécessaires à sa mission n’ont pas suivi. La seconde tient au fait que le NCSC, jusque-là rattaché au département de la sécurité nationale devrait rejoindre prochainement celui de la défense, et être placé sous la tutelle de la NSA, l’organe de renseignement électronique qui suscite la polémique avec le réseau Echelon ». En outre, Beckström estime que « les deux missions, l’une qui concerne la protection et l’autre, le renseignement, seraient incompatibles car ce sont deux métiers différents et leur rapprochement serait de nature à porter atteinte à la démocratie étant donné qu’un seul et même organisme aurait ainsi la charge de veiller sur les réseaux gouvernementaux  » (cf. Zone Militaire). En effet, son administration n’avait obtenu en tout et pour tout que cinq semaines de financement du DHS durant toute l’année 2008 !

Comme son ex-homologue du NCSC, l’Amiral Dennis Blair du National Intelligence Council (NIC : organe rattaché à la Maison Blanche qui synthétise et analyse les informations provenant de toutes les divisions et agences américaines de renseignement électronique et du GCHQ britannique) a admis devant le Comité d’Intelligence du Congrès que seule la sulfureuse National Security Agency dispose de la puissance électronique et des compétences informationnelles nécéssaires à la sécurisation du cyberespace américain, mais qu’elle souffre d’un sérieux handicap de notoriété auprès du public et devrait donc impérativement renverser la vapeur grâce un travail de publicité et de relations publiques. Courage et bonne chance ! Aux yeux du FBI, du département de la justice et même d’une bonne partie du DHS et du Pentagone, la « No Such Agency  » incarne également le mal absolu. Ses abus en matières de surveillance électronique et d’écoute téléphonique, sa culture très poussée du secret et son futur rôle central dans le domaine cybersécuritaire ne font qu’exacerber l’opprobe et la hantise dont elle est l’objet.

Toutefois, les craintes majeures de diverses administrations fédérales vis-à-vis de la NSA tiennent en deux mots : « Red Teams ». Considérées comme la crème des hackers fédéraux, ces cyber-unités spéciales de la NSA sont mandatées par le Pentagone pour analyser et évaluer ses propres réseaux informatiques et ceux de ses contractants privés en les soumettant à de très ingénieuses attaques cybernétiques (DDoS, troyens, virus, botnets, etc). Régulièrement, une Red Team sauvegardera d’ostentatoires fichiers-signatures inoffensifs dans des zones ultra-sécurisées des réseaux afin de démontrer « aux clients » leurs plus infimes failles critiques.

NB : Le réseau infaillible est celui par lequel aucune donnée n’est transmissible. Conclusion : le réseau infaillible n’existe pas. D’où l’importance accordée à la résilience des infrastructures réseautiques vitales dans le plan de cybersécurité nationale.

Dans le cadre du plan de cybersécurité nationale désormais supervisé par la NSA, tous les départements gouvernementaux seront inéluctablement soumis à ces audits cybernétiques certes très particuliers mais hautement indispensables. Pour le FBI, le DHS et le département de la justice, la NSA disposera de toutes les attributions légales pour « fourrer son nez dans leurs affaires y compris les plus confidentielles ». De quoi hérisser les cheveux de l’agent Clarisse Starling et du procureur Jack McCoy hurlant déjà à une violation progressive de la Constitution - et au viol réglementaire de leurs cachotteries ? - sous couvert de l’impératif cybersécuritaire. Les multiples associations américaines pour les droits civiques et pour les libertés électroniques ont vite levé leurs drapeaux rouges : selon elles, le département de la défense fixera peu ou prou (par le biais de la NSA) les normes cybersécuritaires et aura librement et surtout légalement accès à toute l’information gouvernementale et donc à toutes les données administratives personnelles.

On le voit, l’enjeu cybersécuritaire surpasse voire outrepasse peu à peu le cadre constitutionnel et légal, bouleverse complètement les schémas organisationnels au sein du gouvernement et de facto les rapports entre gouvernement, armée, renseignement et citoyens. Les théoriciens du droit constitutionnel et les experts en droit numérique ont un immense champ à défricher devant eux. À l’image de l’état prétorien moderne défini par Levent Üsaldi, l’état cyberprétorien se caractérise-t-il par « un super-système d’informations gouvernemental dont l’armée et les services de renseignement occupent le coeur et assume effectivement la direction  » ?

Enfin, on ne peut qu’espérer que cette multitude d’acteurs se souvienne constamment des quatre principes de base de la cyberguerre énoncés par le Dr Lani Kass du Cyberspace Task Force (US Air Force) :

  1. Le cyberespace fournit d’emblée un point d’appui à des attaques physiques parasitant/retardant/entravant votre réaction.

  2. Tout ce que vous pouvez faire dans le cyberespace peut également vous être infligé beaucoup plus vite et pour beaucoup moins cher.

  3. Les vulnérabilités sont disponibles à ciel ouvert, n’importe où et à n’importe qui ayant la capacité et l’intention de les exploiter.

  4. Le cyberespace procure les voies et moyens à des attaques distantes organisées contre votre infrastructure à la vitesse de la lumière.

     

Il ne reste plus à la NSA qu’à débusquer l’algorithme incendiaire derrière toutes ces pages e-publicitaires évoquant les turpitudes de Britney Spears ou de Rihanna...


Articles liés :

  1. The Register : Obama unfurls master plan for US cybersecurity

  2. Center for Strategic and International Studies : Securing Cyberspace for the 44th Presidency (PDF)

  3. Électrosphère  : Déclaration de cyberguerre

  4. Bloomberg  : Lockheed, Boeing Tap $11 Billion Cybersecurity Market

  5. Aviation Week : DARPA To Fund National Cyber Range Startup

  6. Électrosphère  : La perfide Albion cyberattaquée

  7. Security Focus : Spy agency gains support for key cyber role

  8. Zone Militaire : Démission du responsable de la cybersécurité américaine

     

Bibliograhie : Le militaire et la politique en Turquie, par Levent Ünsaldi, (éditions L’harmattan, 2005)

 


Moyenne des avis sur cet article :  4.6/5   (20 votes)




Réagissez à l'article

15 réactions à cet article    


  • E-fred E-fred 13 mars 2009 10:29

    Bonjour Charles !

    Encore une fois on peut voir que le nerf de la guerre est la communication.

    Plutôt que de chercher à faire d’un réseau qu’il soit "infaillible" pourquoi ne pas le rendre "tellement voyant" que finallement personne n’y prête attention.

    J’ai vu que le président et certains ministres vont percevoir un nouveau type de téléphone portable, mais est-ce réellement efficace, comme rien n’est "infaillible" ?


    • Charles Bwele Charles Bwele 13 mars 2009 10:50

      @ e-Fred,

      Comment va ?
      Je te répond point par point.

      Plutôt que de chercher à faire d’un réseau qu’il soit "infaillible" pourquoi ne pas le rendre "tellement voyant" que finallement personne n’y prête attention.

      Dis, e-Fred, et si ta banque exposait publiquement ses données clients détaillées (ID, adresse, CSP, historique + solde de compte, etc), penses-tu réellement que personne n’y prêterait plus attention ? Imagine maintenant que je fasse de même pour les données de la Banque Centrale, des ministères de l’intérieure et de la Défense, de la DST/DGSE ? Je donne pas cher de la sécurité tous azimuts de la nation...
       smiley

      J’ai vu que le président et certains ministres vont percevoir un nouveau type de téléphone portable, mais est-ce réellement efficace, comme rien n’est "infaillible" ?

      Non, ces nouveaux portables ne seront en rien infaillibles, l’infaillibilté des réseaux est un leurre et les divisions TI/télécom gouvernementales le savent pertinnement. L’essentiel consiste à compliquer la tâche autant que possible - j’insiste sur "autant que possible" - aux petits malins et à disposer de réseaux résilients plutôt que résistants. smiley

      Amicalement. smiley


    • Olga Olga 13 mars 2009 11:47

      @Charles
       Quelqu’un m’a dit que la DST n’existait plus... Info ou intox ? smiley 
      (vous noterez que la maison de disque de Carla s’appelle naïve : c’est un signe qui ne trompe pas smiley 


    • Charles Bwele Charles Bwele 13 mars 2009 12:04

      @ Olga,

      En fait, j’ai commis une erreur dans mon article, je voulais plutôt mentionner la "DGSE".
      Sorry. smiley



    • Olga Olga 13 mars 2009 12:35

      Ah oui !
      La Direction Générale de la Soumission aux Etats-Unis.
      C’est bien ça ? smiley 


    • plancherDesVaches 13 mars 2009 10:37

      Excellent article.

      Et pendant ce temps-là, les gouvernements essaient de nous brider par tous les moyens...Ils feraient mieux déjà de se protéger.
      Et pour n’avoir craquer que quelques logiciels, j’ai vu des spécialistes réseaux contourner des protections avec une facilité qui m’a toujours relégué au rang de petit garçon...


      • Nathan Nathan 13 mars 2009 10:52

         Bonjour Charles, la cybercriminalité est bien entendu un sujet majeur. Mais le monde des informaticiens (à ne pas confondre avec celui des Geek-informatique, fan de bureautique et autres..) est ultra codifié et hiérarchisé, autant dire qu’organiser une bande d’autistes est plus aisée. Pour résumer vous avez le choix entre le roi des pirates avec 190 de QI, ou un gamin génial de 12 ans connaissant toutes les techniques de ses pairs plus âgés ainsi que celles d’Harry Potter pour leur mettre des bâtons dans les roues. Au final, le maître est celui qui en effet, comme le dit notre confrère ci-dessus, maîtrise l’information. Et non l’informatique. Donc vous.
        Bien à vous.


        • Marsupilami Marsupilami 13 mars 2009 12:13

           @ Charles

          Super article extrêmement bien écrit et documenté, comme d’habitude ! Ça fait froid dans le dos. Mais après tout, Internet est né de l’agence pour les projets de recherche avancée de défense, une succursale de l’US Army. Il est donc normal que son créateur surveille de près sa progéniture. Et puis c’est bien connu, les guerres favorisent l’éclosion des nouvelles technologies à un tel point qu’on peut se demander quel visage aurait notre technomondes s’il n’y avait jamais eu de guerres...


          • Gül 13 mars 2009 12:25

            Bonjour Charles,

            Merci pour cet excellent article.

            Le cyberespace, cet univers merveilleux qui pemet d’accéder tellement mieux, tellement plus vite à l’information, la communication, deviendrait-il son pire ennemi ?

            L’automatisation des échanges ne se passe, malgré tout, pas de l’intervention de la main (ou la tête) humaine, et on ne fait qu’y retrouver la même course au plus fort et donc au pouvoir que dans la vie réelle...Une sorte de transplantation virtuelle...

            Quoiqu’il en soit, on fait face à une liberté trop "totale" qui finit par apporter les pires risques sur l’individualité. Il est extraordinairement choquant en effet que la possibilité de détention de toutes les données sur un individu, une entreprise, etc.., puisse être offerte à un seul et même organe, de surcroît en liaison directe avec les instances politiques, gouvernementales....C’est le Graal pour l’accès au pouvoir suprême, non ?

            Qu’en est-il d’éventuels projets de ce type dans la vieille Europe ? Tu as l’air de dire que nous sommes très en retard ! Celui qui possède ces accès deviendra-t-il le Maître du Monde ?

            Du Stephen King, et pourtant on est en plein dedans !

            Brrr, je retourne à mon potager ! smiley


            • Charles Bwele Charles Bwele 13 mars 2009 12:49

              @ Gül,

              C’est trop tard, Gül : y a déjà un gars athlétique en costard noir qui a franchit ta haie et piétine ton potager. Deux autres vont sonner à ta porte dans quelques secondes... smiley Ils savent tout, Gül : ne résiste pas et avoue sans discontinuer.  :->  smiley

              Cordialement


            • Gül 13 mars 2009 13:48

              Tu parles Charles !

              Ils ne connaissent pas encore mon super rouleau à patisserie turbo-laser !!!! smiley smiley


            • wesson wesson 14 mars 2009 02:35

              Bonsoir Charles,

              "y a déjà un gars athlétique en costard noir qui a franchit ta haie et piétine ton potager. Deux autres vont sonner à ta porte dans quelques secondes..."

              comme chez celui là ?



            • Kalki Kalki 13 mars 2009 16:50

              Je pense qu’il faut arretter de voir chaque "Réformes" de Sarkozy (pardon du gouvernement démocratique de sarkozy sous sarkozy) comme étant séparé les unes des autres.

              Il faut pas oublier de recentrer sur la vision de société qu’on veut nous déssiner.

              Finalement il ne reste plus que quelque touche de pinceau à faire.

              Certain auront tout gagné.


              D’autre la majorité aura tout perdu.


              • blibgnu blibgnu 15 mars 2009 18:50

                Bon article, merci.

                Depuis le temps si la sécurité servait à quelque chose, on le saurait smiley



                • HELIOS HELIOS 15 mars 2009 18:58

                  Bonsoir...

                  Entre la version Anglaise "tout mou, quand ca casse on répare..." la version Allemande "tout dur, ça ne passe pas et si c’est pas assez solide on double"... la version Americaine "tout technologique"... il y a surement la place pour une version "intelligent, on s’adapte" que la France pourrait développer.

                  Quelle est la realité du problème que votre article decrit avec pas mal de conviction, je dois dire... c’est que nulle information n’est a l’abris.

                  Bien, parfait, on acte la chose.

                  On securise "raisonnablement" les réseaux de manière contextuelle... on ne va pas crypter messenger, par exemple mais on peu bien utiliser une clé a 1024 bits pour les retraits au DAB.


                  Mais d’un autre cité, l’intelligence, c’est de ne pas baser son comportement sur les echanges de données. Oui, on peu utiliser tous les reseaux disponibles pour fonctionner, mais il existe d’excellentes methodes pour s’assurer qu’il existe d’autres voies lorsque le reseau est en panne, lorsque le risque de divulgation est important, lorsque les systemes sont en panne etc. Je ne developpe pas, ce serait bien long, mais avec un peu de jus de cervelle, les hackers et leur botnets priveraient Agoravox une demi journée et puis c’est tout. la NSA en serait pour ses frais...

                  Mais c’est une question de volonté, n’est-ce pas....

Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON






Les thématiques de l'article


Palmarès