Europe Solidaire
CultureEconomieEducationEnvironnementInstitutionsInternationalSciencesSécurité/DéfenseSocialTechnologiesValeurs
Aggrandir Réduire Reinitialiser

La cyber-guerre se généralise

On peut définir la cyber-guerre comme une guerre qui se mène sur les réseaux. Elle met en présence trois grandes catégories d'acteurs: Etats et dépendances, entreprises grandes et petites, organisations criminelles. Comme toute guerre, elle a deux aspects: la défensive dite aussi cyber-sécurité , visant à se protéger des attaques de l'ennemi (ou du concurrent) - l'offensive, visant à pénétrer et détruire l'ennemi.
La cyber-guerre mobilise un nombre de moyens humains et techniques en forte hausse. Mais, même dans les pays bien dotés en ressources humaines, cette mobilisation se heurte à un manque permanent de spécialistes. La cyber-guerre ne connait ni le chômage ni la crise.

Longtemps conduite de façon discrète, sinon secrète, la cyber-guerre s'officialise de plus en plus.. Elle occupe désormais une bonne partie du web. Il n'est plus possible d'y échapper. Seule demeure discrète la cyber-criminalité. Ceux qui ne prennent pas la cyber-guerre suffisamment au sérieux, en n'y affectant pas un nombre suffisant de moyens, mettent en jeu leur survie, quand il s'agit des entreprises, ou leur poids géopolitique quand il s'agit des Etats. On a pu dire, à tort ou à raison, que la perte de compétitivité des entreprises françaises à l'international tient au fait que celles-ci, traditionnellement en retard en ce qui concerne les nouvelles technologies, n'avaient pas pris assez au sérieux les enjeux de la cyber-guerre.

Un point important de la cyber-guerre est qu'elle mobilise désormais des agents intelligents non-humains, qui complètent et parfois remplacent, tant dans la défensive que l'offensive, les personnels humains. On pourra se référer sur ce point à l'étude d'Alain Cardon " Vers un système de contrôle total", 20 octobre 2011 http://www.admiroutes.asso.fr/larevue/2011/121/controletotal.pdf . Mais cette étude elle-même, bien que récente, nécessite aujourd'hui d'être actualisée. Il est vrai que ces agents ne sont pas encore organisés en autonomie totale, donnant naissance à un nouveau cyber-pouvoir totalement incontrôlé par les humains. Mais ils donnent à leurs contrôleurs humains des capacités d'action que ceux-ci n'avaient pas initialement prévues et qu'ils découvrent au fur et à mesure, quitte à se laisser dépasser.

Il ne s'agit pas ici de présenter, même de façon sommaire, le domaine foisonnant de la cyber-guerre. Mentionnons seulement quelques pistes de recherche

Cyber-sécurité et cyber-guerre aux Etats-Unis.

Il s'agit désormais d'un domaine majeure de la politique fédérale de défense. La raison en a été donnée récemment: riposter aux cyber-attaques dont les Etats-Unis seraient de plus en plus victimes, venant en premier lieu de la Chine, mais aussi de puissances mineures comme l'Iran. Ceci ne doit pas faire oublier que les Etats-Unis mènent depuis la guerre froide une guerre tous azimuts sur les réseaux, visant à espionner le monde entier. Ils déploient pour ceci tous les moyens d'écoute et de traitement disponibles: satellites, aéronefs, UAV notamment. Le réseau mondial Echelon, souvent dénoncé, n'a cessé de s'étendre sous divers autres noms. La Darpa vient par exemple de lancer un programme dit TERN ou Eyes in the ski visant é étendre les moyens déjà considérables de monitoring des activités mondiales sur le Web. Voir http://www.spacewar.com/reports/DARPAsNew_TERN_Program_Aims_for_Eyes_in_the_Sky_from_the_Sea_999.html

Cette année, les efforts du Congrès ainsi que des diverses agences impliquées dans la cyber-sécurité pour sensibiliser les autorités semblent porter leurs fruits. Ainsi, Barack Obama a ratifié le 3 janvier la National Defense Authorization Act (NDAA), une loi annuelle spécifiant le budget et les dépenses du Département de la Défense américaine pour l'année fiscale. Cette loi approuve, au sein d'un budget total de 633 milliards de dollars alloué au Département de la Défense, une action de 3,4 milliards de dollars dédiés aux activités liées au cyber-espace. Cette loi impose aussi au Département de la Défense de rapporter au Congrès chaque trimestre toutes les attaques initiées ainsi que les principales opérations défensives liées à la cyber-sécurité.

Ainsi, le département de la cyber-sécurité serait lui-même composé de trois grands secteurs : la protection des systèmes d'information nationaux et industriels, la protection des réseaux gouvernementaux ainsi qu'un secteur de mission de combat qui serait destiné à porter des attaques à l'extérieur. Ces trois secteurs définiraient les nouvelles divisions du US Cyber Command, le commandement chargé de la sécurité de l'Information de l'armée. C'est d'ailleurs le Général Keith Alexander, Directeur de la NSA, qui en a la charge.

Voir article http://www.clearancejobs.com/defense-news/1048/cybersecurity-news-round-up-2013-defense-budget-outlines-new-mandates-to-enhance-cybersecurity
Voir aussi Washington Post http://www.washingtonpost.com/world/national-security/pentagon-to-boost-cybersecurity-force/2013/01/19/d87d9dc2-5fec-11e2-b05a-605528f6b712_story_1.html

Cyber-sécurité en Europe

En Europe, chaque Etat dispose d'un minimum de politique de cyber-défense. Au plan de l'Union, constatant d'ailleurs le manque d'ambition de ces politiques nationales, les autorités viennent de décider un plan de cyber-sécurité pour « protéger l'internet ouvert et les libertés en ligne ». La politique s'organisera autour de cinq priorités: - parvenir à la cyber-résilience - faire reculer considérablement la cybercriminalité - développer une politique et des moyens de cyber-défense en liaison avec la politique de sécurité et de défense commune (PSDC) - développer les ressources industrielles et technologiques en matière de cyber-sécurité - instaurer une politique internationale de l'Union européenne cohérente en matière de cyber-espace et promouvoir les valeurs essentielles de l'Union.

La politique internationale de l'Europe en matière de cyber-espace encourage le respect des valeurs essentielles de l'Union, définit des règles pour un comportement responsable et prône l'application dans le cyber-espace de la législation internationale existante tout en aidant les pays hors Union à renforcer leurs capacités en matière de cyber-sécurité. Au plan des moyens, à compter de janvier, 2013, un Centre européen de lutte contre la cyber-criminalité (EC3) entrera en activité et contribuera à protéger les entreprises et les citoyens européens contre la cyber-criminalité. Le Centre est situé dans les locaux de l'Office européen de police (Europol), à La Haye (Pays-Bas).

Au plan réglementaire, une proposition de directive sur la SRI « Sécurité des Réseaux d'information » devrait devenir un volet essentiel de la stratégie globale. Elle obligerait tous les États membres, les facilitateurs de services internet clés et les opérateurs d'infrastructures critiques telles que les plateformes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l'énergie, des transports, des services bancaires et des soins de santé à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l'Union. La proposition de directive prévoit notamment les mesures suivantes:

- les États membres doivent adopter une stratégie de SRI et désigner des autorités nationales compétentes en la matière, qui disposeront de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité,

- un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d'alerte rapide sur les risques et incidents au moyen d'une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs,

- les opérateurs d'infrastructures critiques de secteurs tels que les services financiers, les transports, l'énergie et la santé, les facilitateurs de services internet clés (notamment les magasins d'applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs touchant leurs services essentiels.

On doit constater que ces projets suscitent déjà de la part des acteurs visés diverses protestations, fondées ou non, comme l'on pouvait s'y attendre.

Mais, plus gravement, il ne s'agit en rien de mesures à la hauteur, tant sur le plan de la défensive que de l'offensive, des politiques de défense mises en place aux Etats-Unis, politiques que nous venons de rappeler. Ceci traduit la faiblesse, sinon l'inexistence d'une PESC (Politique étrangère et de sécurité commune)

Voir http://europa.eu/rapid/press-release_IP-13-94_fr.htm

Cyber-sécurité et intelligence économique en France

La France s'est dotée, tant sous les gouvernements de droite que de gauche, de politiques visant à défendre ses centres nerveux et ses entreprises des attaques extérieures. On signalera notamment à cet égard le service confié à Alain Juillet, ancien Haut Responsable à l'Intelligence économique auprès du Premier ministre. Cet activité a visé à rajeunir et actualiser les traditions des services militaires et civils consacrés au contre-espionnage et à la recherche d'information dans ces domaines. Le concept d'intelligence économique signifie que la cyber-sécurité doit prendre en compte la défense des entreprises du pays autant que celle des institutions et des personnes.

Des entreprises privées avaient dès le début pris le relais. Aujourd'hui a été crée par elles le Portail de l'intelligence économique (IE) http://www.portail-ie.fr/ . Dans ce cadre, Alain Juillet, Bruno Racouchot, directeur de Comes Communication, et Ludovic François, directeur de la Revue internationale d'intelligence économique, ont mis en place une réflexion de fond sous forme d'une Lettre Communication et Influence, qui vient de faire paraître son n° 41
voir http://www.communicationetinfluence.fr/2013/02/26/n-41-fevrier-2013-guerre-economique-temps-durs-et-idees-molles/

Nous découvrons par ailleurs l'existence d'une organisation dite Alliance géostratégique qui publie des articles concernant non seulement la géostratégie mais la cyber-guerre et la cyber-sécurité. Nous ne pouvons pas en dire plus à cette heure. http://alliancegeostrategique.org/

Ajoutons que nous avons été informé récemment d'un projet qui paraît extrêmement intéressant dans son principe. L'objectif en est de créer un Observatoire des Evolutions algorithmiques. Il s'agirait d'un investissement collectif visant à identifier et le cas échéant neutraliser les multiples agents logiciels en voie d'autonomisation qui prolifèrent désormais sur les réseaux, conformément au diagnostic précité d'Alain Cardon. Les moyens proposés seront-ils suffisants? Alain Cardon ne le pense pas. Nous y reviendrons sans doute.

04/03/2013
Vos réactions
Dernières réactions
Nombre de réaction(s) : 2
Moyens insuffisants en effet
04/03/2013 22:07:02 | Par : Acardon
Je ne sais pas bien qui est à l'origine de la proposition de création
de cet observatoire, ce n'est pas mon domaine. Ce projet, dans sa
terminologie et dans la composition des membres de l'observatoire, me
semble aujourd'hui dépassé. Ceux qui sont les vrais créateurs actuels
en science informatique sont en train de spécifier des systèmes de
systèmes autonomes avec des intentions, des désirs et des émotions,
des systèmes totalement virtuels et totalement distribués, pouvant
intruser tous les appareils utilisés. Nous ne sommes déjà plus à
l'époque de la surveillance mais on entre vraiment dans celle du
contrôle par des systèmes méta dotés d'intentions propres. Avec les
politiques qui s'attachent hélas aux critères d'une autre époque, je
pense que la démocratie est en danger.


Réponse de l'auteur de l'article préprint OEA
11/03/2013 16:12:57 | Par : TBerthier
Il ne s'agit pas de surveiller mais d'observer pour mieux accompagner les turbulences futures induites par une dynamique de convergence technologique suivie d'une éventuelle Singularité.
L'observation n'est jamais dépassée, elle est avant tout expérimentale, pragmatique, et porte en elle les limitations qui font qu'une prévision reste une simple prédiction.
La construction proposée intègre dans son fonctionnement l'empirisme et le scepticisme cher à Nicholas Taleb et se veut humble par nature face à la puissance de l'aléatoire.
Concernant la composition d'un conseil scientifique , j' ai évoqué dans le préprint 13 profils nécessaires, il n'y a pas d'originalité particulière dans le choix mais seulement une volonté d'approche transversale à l'image de la diffusion algorithmique : elle impacte tous les secteurs, certains plus vite et plus intensément que d'autres.
Il manque certainement des profils importants, j'en suis conscient.
Vous évoquez « les vrais créateurs en informatique » ceux qui spécifient des systèmes de systèmes..
effectivement, cela fait partie du mouvement : même en empilant N niveaux de systèmes de systèmes, la résultante est un algorithme, une fonction calculable au sens de Turing , sur une bonne vieille machine (mécanique) de Turing : Le niveau d'Intelligence artificielle, de virtualisation, de distribution n'enlève rien à la notion théorique d'algorithme : l'algorithme part de l'élémentaire print et embrasse tout le reste , y-compris les magmas construits par google ; cela reste une fonction calculable aux sens de la théorie algorithmique de l'information et de la théorie de la complexité de Kolmogorov (c'est mon domaine de recherche...)Bref, ce n'est pas le niveau de virtualisation ou de distribution qui doit interdire l'étude ou l'approche d'un algorithme.
Je suis convaincu que cette notion d'Observatoire sera concrétisée sous une forme ou une autre, dans un futur très proche, l'idée n'est pas nouvelle, Raymond Kurzweil l'a mise en pratique au sein de son université de la singularité et vient d'être nommé Directeur de l'Ingénierie chez Google, il va pouvoir faire évoluer son concept avec une belle force de frappe...
La chine s'engage dans dans la même direction (militaro-centrée).
Enfin, pour aller dans votre sens, je pense que 80% des missions de veille et de collecte algorithmiques que l'OEA se fixe pourra à terme résulter d'un groupe d'algorithmes pertinents.
Il faudra en tenir compte dans le conseil scientifique et que les algos soient représentés...

Une version modifiée de l'article « Créons l'Observatoire des Evolutions Algorithmiques » doit paraître dans le numéro de mai de la revue DSI Défense Sécurité Internationale, l'article initial paraîtra ensuite sur la revue numérique citée Alliance Géostratégique.
Il convient de lire l'article initial «Singularité et  Techno-prophéties » paru chez AGS.

Thierry Berthier – (sera heureux de discuter de ce sujet avec Monsieur Baquiast et Monsieur Cardon via un autre support).
Maitre de Conférences en mathématiques – Complexité algorithmique
Département informatique.
Votre réaction
Vérification anti-spam
Nom/pseudo*


Email*


Titre*


Commentaire*


* champs obligatoires
Europe Solidaire