Que seraient capables d’apporter nos géants de la technologie en cas de guerre totale ?

Atlantico : Face à la multiplication de cyberattaques contre des intérêts nationaux américains, Google a dernièrement enquêté et produit un rapport sur ces cyber-ingérences. Ce dernier fait en outre état des activités du groupe de hackers "APT28", soupçonné d’œuvrer pour le gouvernement russe, et d'avoir notamment lancé une série d'attaques contre le Parti démocrate au cours de la dernière présidentielle américaine. Dans le cadre de ce que l'on peut appeler les "guerres hybrides"  dans le champ du digital - qui revêt en outre la forme de la "cyber-guérilla" - quel rôle pourraient jouer les entreprises du Web occidentales ? Quel parallèle éventuel pourrait-on établir entre ces dernières et des entreprises engagées dans les efforts de guerres plus conventionnelles, à l'image de la Régie Renault côté français, ou encore Krupp côté allemand, au cours des deux derniers conflits mondiaux ?  

Franck DeCloquement : La question des "cyber-ingérences" d’origines russes mériterait en soi – et à juste titre – de nombreux développements techniques, pour bien comprendre ces affaires sur le fond, compte tenu de l’actualité quotidienne que nous délivrent les médias sur ce phénomène stipendié dans la presse depuis quelques mois. La dernière en date somme d’ailleurs à nouveau le Kremlin, déjà soupçonné d'avoir perturbé l'élection américaine, de démentir des accusations d'ingérence, cette fois dans la campagne d'Emmanuel Macron. Nous y reviendrons plus loin. "Penser la guerre" n’est pas chose simple. Vous soulevez ici pêle-mêle la question de la "souveraineté numérique", des "ingérences déloyales" dans nos espaces numériques. Mais aussi celle des "guerres hybrides", de la "techno-guérilla" et des "actions irrégulières", popularisée en outre par des auteurs aussi prolixes que Joseph Henrotin ou le chercheur Elie Tenenbaum, dans le cadre des "espaces solides et les espaces fluides" qu’a conceptualisé de son côté l’historien Laurent Henninger. Leurs écrits offrent d’ailleurs de belles analyses dans le registre des actions "non-conventionnelles" modernes, dites aussi "irrégulières". À ce titre, on ne peut que saluer la parution du Focus stratégique de Tenenbaum, Le piège de la guerre hybride, et l’ouvrage d’Henrotin, Guerre hybride et techno-guérilla : une première approche, qui clarifient conjointement cette conceptualisation originale. Dans son premier chapitre, l’auteur définit d’ailleurs le concept de guerre hybride, comme le résumait Dimitry Queloz sur blogdefense.overblog.com : "la guerre hybride représente un "mélange" de pratiques de la guerre régulière et de la guerre irrégulière. La première se caractérise par le fait qu’elle est menée par une force armée structurée et reconnaissable (port d’un uniforme), soumise à l’autorité d’un Etat. Elle s’appuie par ailleurs sur des normes doctrinales et juridiques qui limitent les possibilités d’action. De son côté, la guerre irrégulière, en raison de la variabilité de ses formes, est plus difficile à définir en dépit d’un certain nombre de caractéristiques: emprise sur les populations, aptitude à l’innovation et à l’adaptation en matière de doctrine et d’organisation, variété des modes d’action (insurrection, guérilla, terrorisme, etc.). Elle est principalement le fait de groupes subétatiques, même si les armées étatiques peuvent également la pratiquer."

La demande circonstanciée de François Hollande sur ces "menaces de cyberattaques" et autres "ingérences digitales" dans le cadre de la prochaine présidentielle, entre dans ce spectre de réflexion... Le Kremlin, soupçonné d'avoir perturbé l'élection américaine, doit sans cesse démentir des accusations d'ingérence dans la campagne de certains candidats à la magistrature suprême. Le ministre de la Défense, Jean-Yves Le Drian lui même, avait déjà mis en garde contre la "diffusion massive de fausses informations", susceptibles d'être utilisées comme un outil de "déstabilisation psychologique" et "d’influence dans le champ perceptif", dans le cadre de nos institutions politiques républicaines. Prévenant d’ailleurs que la France pourrait, elle aussi, avoir recours à "l'arme numérique" en cas de cyberattaques confirmées, visant ses intérêts. Il faut toutefois bien distinguer ce qui relève de l’offensive contre "les infrastructures numériques" de ce qui relève des "opérations de désinformation" poursuivant des buts "d’action psychologique" à travers le "champ sémantique" qu’offre le cyberspace... Ce n’est pas tout à fait la même chose comme semble l’oublier de très nombreux commentateurs, très peu au fait de ces affaires.

L’exemple le plus abouti de ce genre de doctrines usant de "l’arme psychologique" est celui de la "guerre hors-limites". Un concept popularisé par les Chinois Liang et Xiangsui dans leur très fameux livre éponyme. "Ces deux formes de guerre sont des idéaux-types qui facilitent la compréhension mais, dans la réalité, elles ne sont pas cloisonnées puisqu’il existe entre elles une certaine porosité. En dépit de cette tendance forte, l’auteur met en exergue la difficulté pour les armées régulières occidentales, à s’engager dans ce processus "d’hybridation". Ces armées sont en effet moins souples structurellement, institutionnellement, doctrinalement et culturellement que les forces subétatiques qui disposent, en fin de compte, de meilleures facultés d’adaptation, tel le caméléon"… Comme le rappelait Dimitry Queloz, la "techno-guérilla", quant à elle, a ses origines dans les débats de stratégies alternatives des années 1970-1980 : "elle représente alors une forme d’hybridation "instrumentale" car elle est pensée d’emblée comme telle en tant que "système de défense le plus adapté" – à noter que l’auteur distingue une deuxième catégorie d'hybridation : l’hybridation "contrainte ou d’opportunité". À cette époque, plusieurs phénomènes se conjuguent pour remettre en cause le principe d’engagement régulier des forces armées de l’OTAN".

Quant aux enjeux et aux moyens de notre "souveraineté numérique", ils ont été très largement popularisés par un auteur comme Pierre Bellanger. Et le constat est abrupt : nous sommes en situation de vulnérabilité absolue, car notre pays, la France, n’est plus souverain sur les infrastructures, les logiciels et les réseaux numériques qui deviennent le cœur névralgique de notre économie, de notre défense, de notre société et de la vie numérique de chacun d’entre nous en général. L’État n’est plus à même d’y garantir la République. Pas de démocratie, d’économie ou de défense souveraine véritable, si les réseaux répondent de logiques rivales et peuvent se retourner contre nous à tout moment. Alors que les réseaux pourraient être notre meilleure chance de progrès et d’émancipation, nous les laissons en réalité devenir le moyen de nous appauvrir, de nous rendre vulnérable et de nous asservir. Mais cet abandon n’est pas pour autant irréversible… D’ores et déjà, une prise de conscience est en cours, des options stratégiques existent et les moyens techniques sont déjà là. Et certains s’accordent à dire que le moment est venu de reprendre notre souveraineté numérique en main, moyennant quelques efforts de réflexions, de protections et d’anticipations simples… Eu égard pour nos alliés politiques et nos amis sur la scène internationale, qui peuvent être aussi – a contrario – nos pires ennemis dans le champ du digital et du web sémantique. Ceci n’est pas incompatible dans le cadre des actions de diplomatie secrète, en lien avec les stratégies "d’info-dominance" et de "guerre de l’information". C’est aussi le cas dans le registre de la guerre économique que se livrent à l’échelle du globe les États. 

Au regard des caractéristiques de ces nouvelles formes de conflictualités dans le champ du digital, quelles sont les technologies qui pourraient être mobilisées ? Quelles sont les stratégies qu'il serait nécessaire de déployer prioritairement ? 

Au fond, qu’est-ce-que l’Internet ? En réalité, c’est un outil développé à l'origine par le complexe "militaro-industriel" américain. Les sociétés commerciales d’Internet actuelles ne sont,  en quelque sorte, que le "visage souriant" du dispositif, ayant bénéficié, en outre, de tous les efforts de recherche et de développement du Pentagone – avec plus de 60 milliards de dollars par an – pour ne parler que de Google. Son développement, de 1995 à 1998, a non seulement été financé par la Nasa et la Darpa (Defense Advanced Research Project Agence, une agence du département de la Défense des États-Unis.), sur une initiative de la NSF (National Science Foundation, une agence gouvernementale américaine.), mais ressortait également de la DLI (Digital Library Initiative). Autrement-dit, un programme stratégique du Pentagone et du renseignement américain, qui joua un rôle particulièrement actif dans son développement. En France, l’armée très soucieuse, est très attentive pour reprendre la main sur le Net, à l'heure où les attaques cyber de toute nature et le djihad menacent la sécurité des populations, des OIV (Opérateurs d’Importance Vitale), des opérateurs nationaux privés, et des infrastructures techniques.

Mais avant de parler de "technologie", il serait également judicieux de parler de "stratégie", afin de bien orienter les outils en mesure de répondre à ses nouvelles forme de conflictualités contemporaines et futures, dans le champ du digital par exemple : ce que d’aucuns nomment "le Cyber". On pourrait ainsi évoquer la notion de "rupture stratégique" comme l’a défini le lieutenant-colonel et Docteur Olivier Entraygues – de l’Institut de Recherche Stratégique de l’Ecole Militaire (IRSEM) – à travers ses travaux pluridisciplinaires de recherche, qui ont, en outre, permis de conduire une véritable réflexion prospective sur ces sujets d’intérêt croissant. À travers les "War Studies", nos voisins anglo-saxons sont d’ailleurs en pointe sur ces sujets de réflexion. En s’appuyant sur une équipe de chercheurs européens, le programme transverse "Penser la guerre" animé par le Dr Olivier Entragues s’est ainsi ingénié – pendant un an – à définir cette notion très novatrice, utile au champ de la prospective stratégique, dans un monde où il devient de plus en plus difficile de définir des tendances et les moteurs du changement en terme de conflictualité hybride. Responsable en outre du programme "Conflits futurs", il est aussi associé à l’Institut Guerre et Paix en Sorbonne, et à la Chaire des Grands enjeux stratégiques contemporains de la faculté de Paris I. Son essai Formes de guerre, stratégies et déclin de l'Occident résume parfaitement la nature des enjeux présents et à venir, compte tenu des modifications en cours dans le champ de l’action militaire et de l’emploi de la force dans les conflits futurs. Cette vision, qui conjugue la temporalité de la pensée militaire au passé, présent et futur, nous rappelle que la conduite de la guerre, avant d’être une science ou un art, reste un acte éminemment social.

Dans le cadre de nos démocraties occidentales, le phénomène est aujourd’hui particulièrement "sensible" à travers les différents épisodes feuilletonnés, sur les supposées tentatives russes pour influencer les élections présidentielles que nous servent en continu les médias. Soyons très clair : aucunes preuves factuelles ne permettent aujourd’hui d’affirmer, par exemple, que les services de renseignement russes auraient "techniquement" pu saboter le vote électronique aux Etats-Unis. Gageons que ces preuves d’intrusions indiscutables auraient été immédiatement fournies au reste du monde, compte tenu des prétentions rivalitaires en matière "d’action de contre", entre les belligérants russes et américains. En revanche, il est parfaitement concevable que Moscou ait pu élaborer, puis exécuter une manœuvre stratégique spécifique visant à "fragiliser le camp démocrate", dans le champ réputationnel, en faisant tout simplement usage d’un certain nombre de données embarrassantes pour certains candidats, afin d’en altérer – à leur bénéfice – leur interprétation réceptionnée par les opinions publiques américaines. Rien de véritablement neuf ici. Il s’agit d’une "guerre du sens" à laquelle se livrent les adversaires, même si le vecteur de déstabilisation utilisé – ici le cyberspace – apporte une certaine forme de nouveauté à ce type d’opérations non conventionnelles dans le champ perceptif. Bien au contraire : les entreprises nationales et internationales vivent chaque jour, et de manière répétée et beaucoup plus violente encore, ce type d’action offensive contre leur intérêt économique et réputationnel. Il nous faut aussi signaler une certaine forme de "continuité" en matière de "savoir-faire" dans l’usage polémique du champ informationnel par la Russie de Vladimir Poutine, dès lors qu’il s’agit de faire avancer ses pièces sur l’échiquier géopolitique international. Et notamment en s’appuyant sur les dissensions, les rivalités et les contradictions au sein des circuits décisionnels des puissances occidentales. Et plus particulièrement encore, à l’occasion des compétitions électorales pour la conquête du pouvoir. Alors que tous les regards sont aujourd’hui tournés vers la Russie, les Américains ne s’en privent d’ailleurs pas eux-mêmes, à l’image de leurs intrusions numériques répétées dans "la sphère cyber", et dans le cadre plus spécifiques des élections présidentielle française d’avril et mai 2012. "Contactée par l’intermédiaire du cabinet du ministre de l’Intérieur, la Direction générale de la sécurité intérieure (DGSI), chargée de la contre-ingérence, n’a pas voulu réagir à ces informations. Pas plus que le Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui dépend de Matignon" rappelait il y a quelques jour à peine le journal Libération en verve de révélation, qui a justement mené l’enquête : "En l’espèce, la CIA voulait notamment obtenir toute information au sujet des ‘interactions entre Sarkozy et ses conseillers’, des ‘principales sources de financement’ des candidats, ou encore de ‘tout schisme ou alliance se développant au sein de l’élite de l’UMP et leurs raisons’ ".

La technologie et la protection des infrastructures techniques sensibles sont, elles, parfaitement connues des programmateurs, des Chief Information Security Officer, des DSI (Directeurs des services Informatique), des analystes et autres experts en cryptanalyse. Aucune naïveté de leur côté, même si très peu s’expriment sur ces affaires de cyber-intrusions en l’occurrence. "Gagner le champ des cyber conflits" suppose bien sûr des calculs et des computations dans la couche logique. Mais il n'est pas un virus, pas un ver, pas un maliciel, aussi évolué soit-il, qui n'atteigne son but si la dimension "sémantique" a été omise du calcul stratégique. Pour qui veut comprendre, je ne saurais que trop conseiller la lecture de l’excellent ouvrage rédigé à trois plumes par Olivier Kempf, Nicolas Mazzuchi et François Bernard Huyghe qu’ils ont écrit à l'issue d'une étude effectuée au profit du Conseil Supérieur de la Formation et de la Recherche Stratégiques (CSFRS) : Gagner les cyber conflits. L’une des qualités de cette composition – et par la moindre –  et de permettre une meilleure compréhension immédiate de la nature du "cyberespace". Celui-ci couvre en effet trois couches selon nos trois chercheurs : "physique" (les matériels), "logique" (les logiciels) et "sémantique" (l'information qui circule dans le cyberespace). Les études sur la "cyberconflictualité" se concentrent le plus souvent sur la couche "logique" du dispositif. Or, la couche "sémantique", qui est absolument déterminante, constitue "l'objectif final recherché" (EFR) de bien des "cyber agressions" actuellement constatées sur la toile mondiale. En résumé, nous pourrions aussi affirmer comme le font ces trois auteurs que "l’on ne peut réduire l'action dans la couche sémantique à la guerre de l'information ou à la communication stratégique : une cyberstratégie se dirige en premier lieu "contre l'adversaire", même si cette action peut passer aussi par le public. Elle n'est pas non plus une simple subversion : la majorité des cyberagressions (le livre est fondé sur l'analyse d'une quarantaine de cas) combine des actions dans les trois couches et sont composites (espionnage, sabotage et subversion)".

Outre les entreprises du Web, quels sont les éléments de réflexion, les acteurs et les parties prenantes qui pourraient également s'avérer indispensables dans l'effort consistant à se réapproprier notre souveraineté numérique ? Qu'en est-il tout particulièrement des entreprises françaises ? 

Qu'est-ce que la souveraineté numérique au fond ? C'est la maîtrise de notre destin sur les réseaux informatiques, et l'extension de la République dans cette "immatérialité informationnelle" qu'est le cyberespace. La souveraineté numérique effraie en réalité nos dirigeants, et plus particulièrement nos dirigeants politiques, comme le rappelait fort à propos le journaliste Emmanuel Berretta dans le magazine Le Point en 2016, dans un article sous-titré : "Ce dossier qui effraie Hollande et Valls". La France osera-t-elle affronter les GAFAS (Google, Apple, Facebook et Amazon et autres Microsoft), autrement-dit, les plus gros mastodontes américains du Web ? Faut-il le rappeler, la clé de la souveraineté c’est la maîtrise du code… Et ceci, en vertu du fait que toutes les applications que nous utilisons dépendent d'un système d'exploitation inclus dans tous nos ordinateurs personnels et tous nos appareils portables individuels, en passant par l’ensemble de nos objets connectés… En coulisses, beaucoup l’avoue sans ambages : "trêve de naïveté, le réseau Internet roule pour la bannière étoilée". Et dans ce cas de figure, seul un puissant réseau peut rivaliser avec un autre réseau de même acabit estiment les spécialistes du numérique.

Qu'est-ce qu'une frontière dans le cyberespace qui, par définition, n'en connaît aucune ? C'est le chiffrement. Autrement dit, le code informatique lui-même. C'est à cette tâche qu’un commissariat à la souveraineté numérique devrait travailler : définir des protocoles de chiffrement sous le contrôle des services de l'État français. Le territoire, lui, est défini par l'ensemble des données des Français. Il s'agit donc de définir une clé publique du chiffrement des données des Français, conçue non plus comme un bien personnel, mais comme un bien collectif, un bien indivisible. Et pour cela, il s’agit de poser certaines règles simples : tout échange, collecte, traitement et conservation de données sur le territoire national utilisent un protocole de chiffrement autorisé par la puissance publique. Il faut en outre que les serveurs soient domiciliés en France ou en Europe, et non plus à Sacramento...Et, bien entendu, la domiciliation fiscale doit suivre de manière à ce que l'impôt soit payé là où la donnée est collectée. Enfin, et c'est la clé de voûte de la souveraineté numérique, la France a besoin d'un système d'exploitation souverain. Faut-il le rappeler encore : Android, qui est aussi le système d'exploitation promu par le géant du net Google, et qui équipe aujourd'hui plus de 80 % des mobiles intelligents, a été lancé par une petite équipe d'une demi‐douzaine de techniciens et de développeurs spécialisés, avec un budget initial dérisoire à seulement six chiffres. Et ceci, à partir d'un noyau Linux d'initiative européenne, et en source libre… Autrement dit, une somme d'investissements parfaitement dérisoire pour un pays de la taille de la France. Certains politiques, toutes tendances confondues, ne sont pas en reste. Une petite vingtaine de députés LR et PS ont osé affronter une hydre planétaire aux multiples tentacules : le "World Wide Web" lui-même. Déposant chacun de leur côté un amendement, véritable bombe dans l'ordonnancement du monde numérique, afin de concevoir un système d'exploitation "souverain" à l'usage de tous.

En réalité, deux sujets sont impactés prioritairement dès lors que l’on parle de souveraineté numérique : notre sécurité et notre économie. Car sur le réseau, la France est entièrement sous tutelle étrangère. Nous sommes en réalité une "colonie numérique". Preuve à l’appui : quand, par exemple,  l’image d’une victime de l’Etat islamique est mise en ligne sur les réseaux sociaux Facebook ou Twitter, le ministère de l'Intérieur n'a pas la main pour la faire immédiatement retirer… Il doit, dans les faits, demander aux deux réseaux de droit américain de bien vouloir coopérer avec les autorités françaises… En fait, il faut réaliser ce que sont les CGU (ou conditions générales d'utilisation) des GAFAS que les internautes français acceptent aujourd'hui sans même les lire. Elles sont en réalité totalement intrusives... Pour autant, personne n'y prête grande attention. Mais surtout, avons-nous le choix ? En cas de litige, c'est naturellement un tribunal américain qui serait compétent... En définitive, on le perçoit bien à travers les exemples précédemment cités, la défense de notre territoire national est essentiellement conçue pour repousser un ennemi. Mais dans le cas présent, nous ne sommes nullement "envahis" par une armée au sens classique du terme, mais par un gigantesque "territoire" qui s’impose à nous de manière totalement labile : le réseau Internet lui‐même. Et dans ces conditions, l'Etat de droit français contre des CGU des GAFAS ne pèse pas bien lourd…"L'augmentation constante du nombre de connectés et la croissance exponentielle du pouvoir de nuire de chacun rendent la paix statistiquement impossible. Nous sommes en état de paix impossible. Chaque grain de sable peut faire sauter la plage. Toute la société peut être désorganisée à partir d'un clavier et d'un écran. Les couloirs aériens, les distributeurs de billets, le réseau électrique, les feux de circulation, l'accès à Internet, les télécommunications, les sites et applis d'information sont des cibles."

Aujourd'hui, l’essentiel de nos données est stocké aux États-Unis et accroît sans cesse la puissance économique des acteurs majeurs de l'Internet. Affirmer et garantir une souveraineté numérique, c'est affronter une puissance aujourd'hui d’une taille colossale.