Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International

Cyber-attaques : une fatalité ?

Cyber-attaques de masse : Hackers 1, Etats 0

Un rapport publié ce mercredi par la société américaine McAfee dévoile que 72 organisations et entreprises ont été les cibles de cyber-attaques depuis 2006. On soupçonne la Chine mais impossible de l'accuser sans preuves concrètes. Et il n'existe toujours pas de solution mondiale concertée pour agir contre les pirates. Décryptage avec Nicolas Arpagian, directeur scientifique à l’Institut National des Hautes Etudes de la Sécurité et de la Justice.

Nicolas Arpagian

Nicolas Arpagian

Nicolas Arpagian est VP Stratégie et Affaires publiques d’Orange Cyberdefense (Groupe Orange). Et enseignant à l’Ecole Nationale Supérieure de la Police (ENSP).

Nicolas est administrateur de la plateforme Cybermalveillance.gouv.fr et membre du Conseil d’orientation de l’Institut Diderot. 

Il est l’auteur d’une douzaine d’ouvrages, parmi lesquels « La Cybersécurité » aux Presses Universitaires de France (PUF), « L’Etat, la Peur et le Citoyen » (Vuibert) ou « Liberté, Egalité… Sécurité » (Dalloz).

Twitter : @cyberguerre

Voir la bio »

Atlantico : L’ampleur des cyber-attaques révélées aujourd’hui par le rapport publié par la société MacAfee vous surprend-elle ?

Nicolas Arpagian :  A partir du moment où dans nos organisations, on confie un nombre croissant de données aux systèmes d’informations, il est naturel que les cyber-attaques s’amplifient dans les mêmes proportions. Les attaques dont nous sommes témoins aujourd'hui sont à la mesure de notre dépendance numérique actuelle.

Dans ce cas précis, pouvez-vous dresser un portrait-robot de l’attaquant ?

Inévitablement, on agite le spectre chinois. On ne prête qu’aux riches. Il y a un savoir-faire chinois en la matière qui est incontestable mais il ne faut pas systématiquement évoquer la piste chinoise. Tous les grand pays se sont dotés de moyens humains, techniques et juridiques pour mener ce type d’opérations.

A quoi servent ces cyber-attaques ?

Dans cette nouvelle forme d’économie, on est dans une logique évidente de concurrence par la détention d’informations. Détenir des informations, c’est détenir un pouvoir. Il faut distinguer les opérations ou l’attaquant fait une campagne de communication en démontrant l’incapacité de l’attaqué à préserver des informations (type Anonymous vs. Sony), avec celles ou l’attaquant souhaite toute simplement capter le plus d’informations possibles pour pouvoir les utiliser ensuite à son profit. Ici l’attaquant aurait certainement souhaité que son mode opératoire reste camouflé le plus longtemps possible. Nous sommes dans un cas d’espionnage classique. Le but est de faire en sorte que celui qui est piraté ne change rien à son comportement, n’est pas conscience des attaques qui le touchent. 

De plus en plus de cyber-attaques sont dévoilées par la presse, mais leurs conséquences paraissent floues, voire nulles. Comment l’expliquez-vous ?

Vu la difficulté, pour ne pas dire l’impossibilité, d’établir avec certitude l’origine de l’attaque, ces opérations provoquent rarement des conséquences au plus haut plan. Sans preuves concrètes, il est extrêmement difficile d’accuser un pays comme la Chine. Même si l’on pouvait relier l’attaque à des serveurs chinois, le cerveau d’une opération d’une telle ampleur aurait très bien pu brouiller les pistes en utilisant des ordinateurs zombies (botnets) pour fausser la localisation géographique des attaques.

Dans ce cas-là, quelle est la parade que les Etats peuvent utiliser contre ce genre d'attaque ?

L’annonce des Etats-Unis, il y a quelques semaines, d’assimiler à des actes de guerre conventionnelle les cyber-attaques sonne comme un aveu de faiblesse. Les Etats vont être obligés, en concertation avec les acteurs privés, de trouver des solutions concrètes à ce problème d’anonymat. Jusqu’à quel point peuvent-ils accepter l’excuse qui stipule qu’il est impossible de retracer avec certitude les origines d'une attaque ? Les solutions existent mais elles mettraient sérieusement en danger les conventions déjà en vigueur en matière de protection de la vie privée. Les Chinois et les Russes ont par exemple créé un Intranet. C’est un véritable outil de censure qui bafouerait nombre de nos principes démocratiques mais c’est aussi un excellent moyen de se protéger des attaques extérieures. L’équilibre se situe entre un intérêt supérieur de sécurité nationale et le droit de chaque internaute à une serre privée, à une confidentialité des connections.

De telles décisions sont-elles envisageables dans un avenir proche ?

Les Grecs et les Romains naviguaient déjà il y a des siècles, mais il a fallu attendre la convention de Montego Bay dans les années 80 pour avoir un texte qui régit le droit de la mer à l’échelle internationale. Même sur des sujets qui remportent l’adhésion de tous comme la lutte contre la pédopornographie sur Internet, il aura fallu attendre 3 ans de négociations pour arriver à un consensus. Si la plupart des pays ont signé la convention de Budapest en novembre 2001, beaucoup tardent toujours à l’appliquer. Cette accumulation de faits dévoilée par MacAfee pourrait être l’élément déclencheur qui pousserait les Etats à instaurer des mesures en ce sens.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !