Une dissuasion "nucléaire" contre les hackers chinois ?

ATLANTICO : Après un nouveau scandale d'espionnage informatique révélé par McAfee, dont la Chine est fortement soupçonnée, l'ancien ponte du contre-terrorisme américain Richard Clarke estime qu'il faut répliquer aussi fortement. Qu'en pensez-vous ?

Bernard Carayon : Il faut d'abord raisonner à froid. Quand on fait l'objet d'une attaque, quelle qu'en soit la forme - informatique, militaire, politique - il faut être convaincu de la responsabilité de ses auteurs et les confondre. On ne peut pas dire que l'on va passer à la contre-attaque si on ne sait pas contre qui, contre quel organisme ou contre quel Etat on contre-attaque. Le minimum de prudence consiste d'abord à identifier parfaitement l'origine de cette attaque informatique, ce qui est extrêmement compliqué.

Ce que l'on peut dire est qu'il existe un département spécifique de l'armée de libération nationale chinoise, constitué il y a quelques années pour former des hackers professionnels par milliers, si ce n'est par dizaine de milliers.

Depuis quelques années, la menace informatique n'est plus seulement l'affaire de personnalités individuelles, de doux dingues dans leurs chambres de bonnes qui se permettent des intrusions sur des sites publics, mais c'est parfois le fait de pays étrangers. Pour la Chine, c'est une, si ce n'est la priorité militaire de se doter d'outils de résistance aux intrusions informatiques qui peuvent aussi bien être utilisée sous une forme offensive.

Quelle est la panoplie des outils de défense en la matière ? Il y a les moyens classiques : lorsque le site de Bercy a été attaqué il y a quelques mois, j'avais demandé au Premier ministre - qui m'a suivi - de renforcer les moyens de l'Agence nationale de sécurité des systèmes d'information, qui se trouve au SGDSN (Secrétariat général de la défense et de la sécurité nationale).

Sur le plan stratégique, il est incontestable aujourd'hui qu'il faut avoir dans ce domaine de l'insécurité informatique la posture des grandes nations qui détiennent l'arme nucléaire : une doctrine de dissuasion dont l'efficacité supposée évite la montée aux extrêmes.

Mais comment dissuader des personnes dont on ne pourra pas prouver la responsabilité ?

C'est une question qu'on ne peut poser qu'aux spécialistes de la DGSE, de la DCRI ou de l'Agence nationale de sécurité des systèmes d'information. Les messages de dissuasion ne passent pas toujours par des moyens techniques, mais diplomatiques, ou par des services de renseignements qui ont des contacts permanents avec leurs homologues étrangers, et qui sont en mesure de dire : "Arrêtez de faire les cons car nous avons aussi les moyens de vous faire mal". C'est le cas si l'agression vient d'un Etat. Mais si c’est une organisation parallèle à l'Etat, logée dans un cadre privé, universitaire, ou nulle part, ce qui est très possible, alors la dissuasion ne peut fonctionner.

On ne peut pas exiger des Chinois qu'ils arrêtent de former des hackers. Ils rigoleraient. Mais des contre-attaques informatiques sont peut-être déjà engagées. On n'en sait rien et je ne pense pas que les Chinois le diraient si c'était le cas. On est dans une période extrêmement intéressante car il n'y a pas de doctrine. Les Etats-Unis commencent seulement à réfléchir à des méthodes de dissuasion par rapport à ce type de menace.

La politique de dissuasion nucléaire n'a pas empêché la France de se livrer à des opérations spéciales lorsque des intermédiaires privés, liés à des services de renseignements ou à des acheteurs de matières fissiles, se livraient sur des marchés exotiques à des ventes au profit de certains Etats voyous d'outils leur permettant de se constituer une arme nucléaire. Il y a une guerre de l'ombre depuis le début de la prolifération qui se déroule sans qu'on en connaisse tous les fils et toutes les victimes. Il y a eu de nombreux morts. C'est un métier risqué. De la même façon, je suis convaincu que les services de renseignements occidentaux, russes et chinois seront sollicités pour faire comprendre aux auteurs d'agressions informatiques qu'ils prennent des risques personnels extrêmement élevés.

Est-ce que des pays comme la France ou les Etats-Unis ont eux aussi des effectifs aussi affutés en matière de guerre informatique ?

L'ensemble des grandes nations du continent européen disposent de ressources humaines de très grande qualité, qui travaillent étroitement avec leurs homologues américains. Mais je ne peux pas garantir que ces moyens soient à la hauteur de la situation.