La Géopolitique des Cyberespaces
"Ensemble de données numérisées constituant un univers d'information et un milieu de communication, lié à l'interconnexion mondiale des ordinateurs."
"Après la terre, la mer, l'air et l'espace, le cyberspace est le cinquième territoire soumis aux rivalités des puissances"
Pascal Boniface
L'échange de données se fait de nos jours par des câbles. Ils sont constitués de fibre optique et relient les continents pour permettre les multiples échanges de données. Il en existe un peu plus de 400 pour une longueur totale de 1,2 millions de kilomètres. 99% des données échangées par Internet passe par ces câbles, le reste transitant par satellite. Si des régions du monde sont plus connectées que d'autres, c'est notamment car il y'a davantage de données qui transitent entre ces zones, comme entre l'Asie, l'Amérique du Nord, et l'Europe. Ces données sont ensuite stockées dans des Data Center, des centres de données, qui sont particulièrement présents aux Etats-Unis, en France, Angleterre, Inde. Les Data Center en collocation sont des centres où sont hébergés des données issus de sources différentes et appartenant à des entreprises différentes. L'entreprise au lieu d'héberger elle-même ses données, confie les données à une entreprise tiers dont c'est le métier. Dans ce domaine, les Etats-Unis sont très largement en tête avec environ 1 800 Datacenter contre un peu moins de 300 pour le second du classement, le Royaume-Uni.
I - Espionnage, vol, protections des données à grande échelle
Les câbles sous-marins, comme les Datacenter représentent des enjeux géopolitiques. Ces enjeux ont surtout été révélés au grand jour grâce aux révélations d'Edward Snowden, un ancien employé de la CIA et de la NSA*. Il révèle à partir de 2013 l'ampleur des réseaux d'espionnage des Etats-Unis, mais également d'autres pays occidentaux. Parmi ses révélations on trouve le programme Tempora. Ce programme consiste en une écoute par les services de renseignement britanniques (le GCHQ) de plusieurs câbles sous-marins dans le sud-ouest du Royaume-Uni. Ce programme leur permet d'espionner les emails, messagerie instantanée, recherche internet et tout autre données passant par ces câbles. Cela aurait été fait en collaboration avec les entreprises propriétaires de ces câbles qui en aurait donné l'accès, des opérateurs de télécommunications. Selon Snowden les services britanniques auraient eux aussi collaboré avec la NSA sur ce projet. Le programme Prism est également révélé. Il consiste en une collaboration des plus grandes compagnies américaines dans le domaine des télécommunications avec la NSA. Parmi elles, Google, Yahoo, Facebook, Apple, Microsoft... aurait donné accès à leurs serveurs à la NSA. La Nouvelle Zélande est également accusée d'espionner toute la zone pacifique via les câbles sous-marins. Ses cibles sont la zone océanienne ainsi que de plus grands pays côtiers comme le Japon, la Chine ou le Vietnam, et d'autres pays plus à l'ouest, toutes ces données étant également échangées avec la NSA. Enfin un dernier programme d'espionnage cette fois-ci français, le programme Babar. Babar est un logiciel espion, un "spyware" qui a été développé par la DGSE, les services de renseignement français. Sa cible principale aurait été l'Iran mais également d'autres pays, notamment en Afrique et même en Europe.
De manière plus générale, ces affaires révèlent un échange massif de données entre pays principalement occidentaux. Ces révélations font par ailleurs scandale, de nombreux pays demandent des explications aux Etats-Unis et régissent pour renforcer leur souveraineté sur les données de leurs citoyens.
Le Brésil par exemple décide de mettre en place son propre câble sous-marin pour relier directement l'Europe sans passer par les Etats-Unis. Il espère ainsi échapper aux écoutes. Sur le même principe, on voit que la Russie est particulièrement isolée avec seulement 4 câbles reliant le pays au reste du monde : 1 avec la Finlande, 1 avec la Géorgie, et 2 avec le Japon. Certains Etats se sont également muni de barrières législatives les permettant de protéger leurs données. La Chine par exemple avec son Cyber Security Act de 2017 oblige certaines entreprises étrangères, auxquelles elle a donné le statut "d'infrastructures manipulant des informations critiques", d'utiliser des Data Center situés sur le territoire chinois sans que ces D Data Center ne soient la propriété des entreprises étrangères qui ne sont donc qu'usagères. Donc elles appartiennent et sont opérés par des entreprises chinoises travaillant étroitement avec le gouvernement chinois. Cela a été le cas pour les grandes compagnies américaines comme Google ou Apple par exemple. Le gouvernement chinois a également appelé les entreprises dans les télécommunications à fermer leurs accès au VPN* avant le 1 février 2018. Ces VPN permettaient auparavant aux entreprises d'utiliser des services, serveurs bloqués dans le pays. La Chine a toujours souhaité contrôler "son internet", bien avant les révélations de Snowden, et c'était avant tout pour des raisons internes au pays. Tout cela dans le contexte du grand "firewall" de Chine qui est un projet de contrôle et de censure du cyberespace chinois. C'est le cas également en Russie, où des lois ont été passées afin de forcer le stockage de données des citoyens russes sur le territoire russe, dans des Data Center russes, avec un contrôle sur l'utilisation de VPN également. En Europe a été mis en place le RGPD, (Règlement Général sur la Protection des Données), qui protège les données personnelles des citoyens et contrôle le traitement qui en est fait. Ce règlement vise surtout les entreprises privées et publiques mais plus sur la partie visible des échanges des données, l'espionnage par les services du renseignement n'a pas vraiment d'impact sur ce règlement. Si certains pays osent mettre en place la protection des données du cyberespace, beaucoup d'autres régions du monde doivent encore franchirent le pas.
*La National Security Agency (NSA, « Agence nationale de la sécurité ») est un organisme gouvernemental du département de la Défense des États-Unis, responsable du renseignement d'origine électromagnétique et de la sécurité des systèmes d'information du gouvernement américain.
**Un VPN est un réseau privé virtuel qui permet de protéger ses données personnelles.
II - Le cyberespace, un lieu d'attaque ciblé
Au début des années 2010, la Chine parvient à voler 65 gigas de données aux Etats-Unis, une bonne partie concernant l'avion de transport militaire Boeing C-17. Cette opération d'espionnage aurait permis à la Chine de concevoir ensuite leur Xian Y-20, qui serait l'équivalent du C-17 mais à un coût réduit. Sachant que la conception du C-17 aurait coûté 40 milliards de dollars de recherche et de développement. En 2018 la Chine parvient également à voler 614 gigas de données à l'US Navy, concernant notamment un nouveau missile anti navire. La cible de cet espionnage était un sous-traitant travaillant pour l'US Navy. Le ciblage du sous-traitant est une pratique privilégiée car leurs systèmes informatiques sont souvent moins bien protégés. L'espionnage peut donc avoir des fins militaires, donc se renseigner sur le matériel de l'adversaire et s'en inspirer pour réduire le coût de recherche.
*Le sous-traitant informatique assure des missions préventives afin d'anticiper les risques liés au système d'information.
A) Le sabotage est également une pratique courante dans le cyberespace
En 2010, la centrale nucléaire de Natanz en Iran est victime d'une attaque informatique. Ses centrifugeuses sont sabotées et endommagées, ce qui retarde le programme nucléaire iranien de plusieurs mois (cf question nucléaire de l'Iran). Le virus à l'origine de ce sabotage se nomme Stuxnet et aurait été collaborer entre l'Israël et les Etats-Unis. La thèse la plus probable est que le virus aurait été introduit via une clé USB, volontairement ou non. Mais les virus paraissent souvent sur l'erreur humaine pour s'introduire dans les systèmes. En 2015, 30 stations électriques ukrainiennes ont été déconnectées du réseau, trois provinces se sont retrouvées en partie sans électricité pendant plusieurs heures, et plus de 200 000 personnes ont été affectées. L'opération se nomme Black Energy et aurait été manigancée par la Russie dans le contexte de l'affrontement russo-ukrainien qui fait rage depuis 2014. En 2018, la Russie se serait également introduit dans le système de l'organisation pour l'interdiction des armes chimiques qui enquêtait sur l'utilisation d'armes chimiques par le régime de Bachar el-Assad dans le contexte de la guerre civile syrienne. Pour la Russie, qui était un soutien de Bachar el-Assad, retarder cette enquête était un moyen parmi d'autres pour maintenir son allié au pouvoir.
B) Des attaques informatiques qui permettent de préparer une attaque militaire physique
Cela a été le cas par exemple en 2007 en Syrie. En effet, alors que l'Israël prévoit une frappe aérienne sur un site nucléaire en construction dans la région de Thérèse D'or, celui-ci a besoin de neutraliser les balises de radar syriens de fabrication russe qui permettait de détecter toute intrusion dans l'espace aérien du pays pour mener l'attaque. Une fois chose faite, les avions israéliens ont pu atteindre leur cible et détruire le site en construction sans être détectés. Plus récemment, en Janvier 2020, c'est l'Iran qui relance une attaque informatique sur une base américaine en Irak. Afin de désactiver les systèmes d'interceptions du missile avant de frapper. Cette attaque était une riposte suite à l'assassinat de Qassem Soleimani, général iranien.
C) Des cas d'attaque militaire en riposte d'une attaque informatique
Les cas sont plus rares, or il en existe. Par exemple, le cas le plus connu est celui de l'Israël qui dit avoir déjoué une attaque informatique lancée par le Hamas palestiniens depuis la bande de Gaza en mai 2019. L'Israël riposte donc en détruisant un bâtiment qui abriterait le matériel informatique ayant servi à l'attaque, et peut être également avec les hackers qui en sont à l'origine. On peut se poser la question de la légitimité d'une telle attaque, et en matière de cyberguerre ce cas est souvent pris comme exemple. Or il faut le placer dans le contexte plus global de la confrontation entre l'Israël et le Hamas (cf conflit israélo-palestinien), avec des tirs de missiles ayant notamment été échangés des jours juste avant la riposte. Il est en revanche intéressant de constater ici l'importance qui a été donnée à un pôle de cyberattaque ennemi dans un conflit allant jusqu'à l'identifier puis le neutraliser physiquement.
D) Le vol d'argent
C'est habituellement des actions de groupe d'hacker isolé, ne travaillant pour aucun gouvernement, mais la Corée du Nord est régulièrement accusée de mener des attaques sur des banques ou sur des crypto-monnaies. En 2018, elle est accusée d'avoir volé 7, 13 milliards de dollars à une banque indienne. Aussi des groupes d'hacker ou même des hacker isolés jouent parfois ce qu'on pourrait appeler "les Robins des Bois" et extorquent de grande quantité d'argent à des particuliers pour les redonner à des œuvres caritatives. On parle ici d'hacker au "grand cœur" qui utilisent comme argument principal de leurs hackings le souhait de rendre le monde meilleur;
En essayant de simplifier le schéma, nous pouvons identifier deux grands champs d'application des outils numériques dans la géopolitique des états.
- Il y'a en premier lieu des actions de long terme. On y inclut par exemple les écoutes (celles révélées par Snowden). Les états ont donc accès sur leur citoyens mais aussi sur des citoyens étrangers, cette pratique est souvent justifiée par la nécessité anti-terroriste. Ainsi que l'espionnage de données militaires ou industrielles, avec les vols de données militaires américaines par la Chine par exemple.
- Enfin l'autre champ serait plus opérationnel et inclurait tout ce qui est sabotage de cible bien identifiés, ce qui permet dans certain cas de prévenir ou répondre à des attaques militaires physiques. Enfin le renseignement opérationnel également permet de surveiller et surtout d'anticiper les actions de l'ennemi dans un conflit.
III - La France
La cyberdéfense française reposé principalement sur 3 entités, ou groupe d'entité, tel que l'Agence Nationale de la Sécurité des Systèmes d'Informations (ANSSI), le commandement de cyberdéfense Com Cyber, et les organes liées aux renseignements.
L'ANSSI a été créée en 2009 et est une autorité nationale chargée de la défense et de la sécurité des services d'informations et de l'Etat. Elle est sous l'autorité du premier ministre. Elle n'a pas le pouvoir de mener des opérations offensives mais elle peut, si elle détecte une menace, pénétrer dans les systèmes de cette menace pour la neutraliser. Donc elle se trouve à la limite de l'offensive. Concrètement l'agence intervient auprès des services de l'Etat mais aussi des grandes entreprises lorsqu'elles sont victimes d'intrusions dans leur système. Or, en amont des intrusions, son rôle est aussi d'anticiper, de sensibiliser, et de former les acteurs publics et privés pour éviter les intrusions.
Le Com Cyber lui est directement lié à l'armée, il a été créé en 2017 par Jean-Yves Le Drian, alors Ministre de la Défense. Il est sous l'autorité du chef de l'Etat Major des armées et chargé de la sécurisation des réseaux du ministère des armées et la conduite des opérations dans le cyberespace. Actuellement environ 60% de ses effectifs sont consacrés à la défense et les 40% restants aux opérations offensives. Donc oui, la France mène des opérations offensives dans le cyberespace, ça a notamment été le cas dans le rapport de lutte contre l'Etat islamique par exemple. Ce rapport de 60%-40% pourrait être amené à s'inverser dans les prochaines années.
Enfin, en terme de renseignement, la Direction Générale de la Sécurité Extérieur (DGSE) est en charge de l'espionnage et du contre-espionnage à l'extérieur des frontières françaises. Ainsi que la Direction Générale de la Sécurité Intérieur (DGSI) est en charge du contre-espionnage à l'intérieur des frontières et de la lutte anti-terroriste. Puis la Direction du Renseignement et de la Sécurité de la Défense (DRSD) qui est en charge d'identifier les vulnérabilités potentielles. Et enfin, la Direction du Renseignement Militaire (DRM) qui fait du renseignement tactique et stratégique sur les différents théâtres d'opérations de l'armée française. La plupart de ces entités cherchent à recruter de nouveaux talents afin de renforcer leurs effectifs et d'être en mesure de répondre aux attaques.
Finalement, la cyberdéfense est un domaine compliqué car il faut en permanence se renouveler puisque les hackers, attaquants utilisent eux-aussi en permanence de nouvelles méthodes afin de s'introduire dans les systèmes ciblés. La particularité du cyberespace est qu'il nécessite aussi très peu de moyens techniques pour mener une offensive, alors que dans la guerre traditionnelle les missiles coûtent quelques milliers voir millions de dollars. On peut donc en déduire l'avantage premier du cyber, faire un maximum de dégâts pour un coût très faible.
Surtout, dans la plupart du temps, il est très difficile d'identifier avec précision qui est l'auteur de l'attaque. C'est pour cela que la plupart des attaques connues (cf attaques citées dans l'article) ne sont que des suspicions, plus ou moins fortes. En effet, il est facile pour un état de lancer une cyber attaque, et de derrière nier totalement en être l'auteur, grâce à la difficulté d'apporter des preuves réelles de son implication. On comprend donc le cyber est un domaine stratégique et incontournable dans la guerre moderne ainsi que dans le renseignement, et constitue un véritable enjeu géopolitique.