Washington et Londres brandissent la cyberdissuasion. Quand la guerre numérique change d’échelle

« Nous convenons que l’engagement stratégique dans le cyberespace est crucial pour défendre notre mode de vie (…). « Nous y parviendrons en planifiant des opérations cyberspatiales combinées durables qui permettent une défense et une dissuasion collectives ». Le 18 novembre, à Fort Meade, au sud de Baltimore, où est situé le siège de la toute puissante National Security Agency (la NSA) et – on le sait moins – de l’US Cyber Command, les maîtres espions américains et britanniques du cyberespace ont profité de leur dernier forum annuel pour marquer les esprits. Ils annoncent mettre en commun leur forces afin de mieux « dissuader » quiconque de s’en prendre à leurs intérêts vitaux. Ce terme emprunté à la grammaire de l’arme nucléaire a aussitôt alerté et intrigué la petite communauté des spécialistes de la guerre numérique, qui s’interrogent sur son sens et sa portée.

D’un côté, répondent les experts interrogés, rien de nouveau à l’Ouest. Dès 1993, dans un article célèbre intitulé « Cyberwar is coming », publié sous le sceau de la Rand Corporation, les chercheurs américains John Arquilla et David Donfeld introduisent le concept de cyberdissuasion dans le débat stratégique. 30 ans plus tard, beaucoup questionnent encore sa pertinence. Olivier Kempf, chercheur associé à la FRS, explique : « le propre de la cyberguerre est d’être invisible, souterraine, de rester justement sous le seuil de la conflictualité. C’est tout le contraire avec l’arme nucléaire, dont l’emploi est revendiqué, traçable, dont la puissance destructrice provoque la sidération et l’effroi, au vu et au su de tous ».

De l’autre, avancent-ils, l’emploi de ce vocabulaire révèle le franchissement d’un nouveau « seuil » dans la cyberguerre. Pour Alexandre Papaemmanuel, professeur à Sciences-Po Paris, c’est le constat d’une forme « de montée aux extrêmes » dans le champ numérique, le signe d’une « maturité de la conflictualité dans le cyberespace ». En arrivant à la Maison Blanche, Joe Biden a donné le « la ». En réaction à l’attaque « SolarWinds » contre des sites américains sensibles en 2020, le président démocrate a débloqué une enveloppe inédite de 9 milliards de dollars pour renforcer les cybercapacités du pays. La promesse d’une guerre totale dans le cyberespace à celui qui attenterait aux intérêts anglo-saxons pourrait revêtir un double objectif : inciter les attaquants à s’en prendre à des forteresses moins bien gardées ; convaincre les alliés de resserrer les rangs face au nouveau compétiteur global désigné, la Chine. D’aucuns y voient aussi au passage un moyen pour Washington, via l’OTAN, de pousser ses technologies.

Dès lors, dissuader peut tout simplement vouloir dire « répondre ». Là encore, rien de nouveau, analyse Thierry Berthier, universitaire, membre de la chaire de Cyberdéfense et de Cybersécurité de Saint-Cyr, Sogeti, Thales. « On sait bien que les États-Unis pratiquent la culture à grande échelle de « malwares » dans des « fermes » dédiées ; ces logiciels malveillants ont vocation à être infiltrés dans des réseaux ». En revanche, l’intensité pourrait changer. Après l’usage des services officiels américains « d’attribuer » systématiquement des attaques, c’est-à-dire de désigner des coupables, y compris en publiant les noms et les photos de leurs auteurs ou têtes pensantes, la Maison Blanche promet maintenant d’accéder à une demande récurrente : autoriser les victimes privées à pratiquer le « hack back », soit la riposte numérique. Bientôt, comme au bon vieux temps du Far West, ce sera œil pour œil et dent pour dent dans le cyberespace, pourvu que l’ennemi soit celui de l’Amérique.

L’Europe occidentale n’est pas en reste. Il y a longtemps que les grandes capitales ne font plus de cadeau aux cyber agresseurs. En France, depuis les attentats de 2015, doublés d’une vague de cyber attaques conduites par la mouvance djihadiste, la guerre fait rage quotidiennement, et l’État se défend via ses services, précise Thierry Berthier. Si la DGSE est le leader, les Armées ont récemment dévoilé leur doctrine offensive. Une « bonne source policière » le confirme : « Dès que nos positions créent des tensions sur la scène internationale, nous enregistrons un net regain d’attaques contre nos intérêts. Toute la difficulté est de riposter intelligemment. Contre plus fort que soi, il faut savoir envoyer un signal fort qui ne déclenche pas une nouvelle attaque encore plus paralysante… ». Sans compter la difficulté de manier la riposte numérique. Aussi ciblée soit-elle, avertissent les spécialistes, la bombe numérique peut causer, avec des effets à retardement, d’importants dégâts collatéraux non sollicités en se propageant par les failles insoupçonnées ou par les obsolescences d’un réseau. À l’opposé de l’arme nucléaire, qui tend à être de plus en plus précise.

Ancien directeur technique de la DGSE, aujourd’hui patron de la société BBCyber, le centralien Bernard Barbier s’est alarmé de l’annonce américano-britannique : « Cette force combinée représente des moyens humains et techniques impressionnants (plus de dix fois les moyens français). Est-ce que l’Europe veut créer une capacité combinée de cyber dissuasion ? Si l’Europe ne réagit pas rapidement, nous serons encore plus totalement dépendant du couple UK-USA : les GAFAM plus NSA-GCHQ ». Cette position est isolée chez les experts, qui rappellent : « le cyber est une arme éminemment régalienne, et chacun sait qu’il serait très difficile de collaborer sur ce sujet avec les Allemands ». Les autorités françaises ont donné des gages au grand allié américain, en acceptant par exemple d’attribuer certaines attaques récentes ou, comme lors du dernier voyage de la vice-présidente Kamala Harris à Paris, en signant des accords de coopération. Pour le reste, le haut niveau de compétence des experts publics l’autorise à demeure « autonome » et « prudente », soulignent-ils.