Et voilà la liste des personnes les plus dangereuses de la décennie sur Internet

Atlantico : Durant la dernière décennies, quelles personnalités ou groupes ont le plus marqué internet et la cybersécurité de manière positive ou négative (propagande, hacking...) ? 

Nicolas Mazzucchi : Avant tout je pense qu’il est compliqué d’opérer une ségrégation claire entre acteurs positifs et négatifs et même en termes d’identification formelle de tel ou tel. Stratégiquement parlant, le cyberespace est un domaine d’action qui favorise plus que tout autre la dissimulation et la délégation d’action, ce qui rend l’identification des véritables agresseurs ou commanditaires très difficile. Ceci étant posé, la grande figure – individuelle – qui s’impose sur cette décennie 2010 dans le cyber a été Edward Snowden. Les révélations qu’il a pu faire en 2013 sur le système de surveillance des Etats-Unis, si elles n’ont pas surpris les spécialistes du domaine, ont néanmoins créé un débat – toujours ouvert – sur la société de la surveillance.

Snowden a jeté la lumière sur l’importance des grands acteurs privés gestionnaires de données, les GAFA(M), dans la régulation du cyberespace et l’action cyber. La révélation du programme PRISM de coopération entre les GAFA(M) et la NSA a ainsi manifesté leur rôle dans la collecte de données au profit du renseignement américain et, ainsi, leur place de plus en plus centrale dans la « sécurité » sur le Net. Ces acteurs privés qui cherchent aujourd’hui à transformer leur action vers de la diplomatie publique, sont de plus en plus actifs depuis quelques années dans la régulation des cyberconflits que ce soit Microsoft avec le projet de Convention de Genève du numérique ou Facebook avec le Global Internet Forum to Counter Terrorism.

A la limite entre les acteurs économiques et les acteurs politiques, les groupes criminels n’ont cessé de prendre de l’importance depuis le début des années 2010. La prolifération des « ransomwares » ainsi que les atteintes de plus en plus sophistiquées aux particuliers et aux entreprises (spear phising, arnaque au président, etc.) font de la cybercriminalité organisée une menace qu’il n’est plus temps de négliger. Il est d’ailleurs fort probable que ces cybercriminels tendent également à devenir des cybermercenaires louant leurs capacités au profit d’acteurs terroristes ou étatiques, l’attaque sur TV5 Monde en 2015, revendiquée par le « Cybercaliphat » affilié à Daech, aurait été conduite depuis la Russie, accréditant potentiellement cette thèse. Identiquement, le groupe criminel Russian Business Network travaillerait souvent au profit des acteurs étatiques russes. 

Les groupes terroristes, en particulier l’Etat islamique même s’il est loin d’être seul dans ce cas, ont été très impliqués dans l’action cyber sur les volets agitation-propagande et recrutement. Alors que les groupes terroristes n’ont pas ou peu fait étalage de compétences particulières dans l’action violente au travers du cyberespace – à mon sens plus pour des questions sociologiques que techniques – ils ont démontré une grande maîtrise des réseaux sociaux et de leurs effets de diffusion multidirectionnels. Depuis les principaux groupes mondiaux comme Al Qaeda et Daech, jusqu’à des acteurs plus locaux comme les Talibans ou les Shebabs somaliens, la décennie 2010 a été celle de l’action propagandiste, servant au recrutement, ou à la démoralisation des adversaires. Là où Daech a pu se singulariser, c’est dans le niveau de sophistication de ses démonstrations de force, avec une production médiatique – cyber et non-cyber – de niveau professionnel, démontrant par là une maîtrise des codes de la communication issus de la sphère occidentale. 

Enfin, les principaux Etats ont été les acteurs les plus importants dans le cyberconflit au cours de cette décennie. Celle-ci a d’ailleurs commencé en 2010 par la découverte du ver Stuxnet qui s’est avéré issu d’une coopération américano-israélienne visant le programme nucléaire iranien. Au-delà du cas Stuxnet très médiatisé, les attaques des Etats-Unis à l’encontre de l’Iran se sont multipliées avec d’autres maliciels comme Flame, DuQu ou Wiper. D’ailleurs l’Iran n’a pas été en reste avec l’attaque Shamoon en 2012 contre l’Arabie Saoudite qui réutilisait des éléments des maliciels précités. Les autres grandes puissances mondiales comme la Chine ou la Russie se sont également positionnés comme des acteurs majeurs de la cyberconflictualité, aussi bien comme cibles que comme acteurs. La Russie a d’ailleurs mis en œuvre des capacités cyber militaires importantes en 2014 à l’occasion des évènements d’Ukraine, continuation de la démonstration faite en 2008 lors de la guerre en Géorgie. Les Etats se trouvent dans la situation paradoxale au cours de cette décennie d’être à la fois les principales cibles mais également les principaux agresseurs. L’équilibre entre les deux aspects et les conséquences potentielles des cyberattaques – avec certains affirmant leur volonté de répondre militairement – est devenu de plus en plus délicat avec, à partir de 2013-2014, une évolution de la position des Etats vers une volonté – à peu près globale – de s’entendre au niveau international. Si les discussions conduites dans le cadre onusien ont connu quelques succès jusqu’en 2015, elles sont pour l’instant dans une phase complexe où les Etats-Unis et les pays européens s’opposent à la Chine et à la Russie sur les cadres à mettre en place pour limiter la prolifération de la cyberconflictualité.

Quels ont été les principaux dangers en terme de malware ou de virus ? 

Plutôt que de faire un catalogue des différentes attaques de la décennie (Stuxnet, Shamoon, Wannacry, etc.) il est surtout important de noter la sophistication croissante des attaques avec deux tendances importantes. D’une part un développement important – suite à Stuxnet en particulier – des attaques visant l’informatique industrielle (OT) plus que l’informatique bureautique (IT). Si les attaques sur l’IT sont plus simples à mettre en œuvre et peuvent affecter plus de matériels, celles sur l’OT peuvent avoir des conséquences physiques bien plus importantes, avec une dangerosité qui s’accroit au même rythme que le développement de l’Internet des Objets. D’autre part, les attaques ont également eu tendance à se sophistiquer en matière d’identification des cibles avec des attaques « sur la chaîne de valeur » qui ciblent les sous-traitants – plus mal protégés – que les grands acteurs pour pénétrer in fine dans le système de ces derniers. Avec une vision de la cybersécurité orientée sur les opérateurs d’importance vitale laissant les acteurs secondaires moins bien protégés, ces attaques sur la chaîne de valeur ont eu tendance à avoir des effets importants, notamment quand le sous-traitant visé travaille avec plusieurs acteurs de premier rang.

Comment ces menaces pourraient-elles évoluer dans les années avenir ? Quelles nouvelles menaces pourraient apparaître ?

Même s’il est difficile à ce stade d’imaginer les diverses formes de cyberconflictualité pour la décennie à venir, deux tendances se dégagent, liées à l’évolution technologique globale. D’une part le développement de l’Internet des Objets qui tend à rendre les cyberattaques bien plus dommageables dans le monde physique. Avec le développement de plus en plus de systèmes connectés dans le domaine médical, dans l’énergie, les transports ou autres secteurs vitaux, les cyberattaques pourraient avoir un effet létal – ou de terreur – direct. Avec la possibilité de prendre le contrôle d’appareils médicaux à distance il est possible d’imaginer le développement de cyber-rançons sur des pompes à insuline ou des pacemakers. 

L’autre grand développement est lié à l’Intelligence artificielle. Les logiciels embarquant des briques IA ont déjà démontré la capacité de créer de fausses vidéos extrêmement convaincantes – les deep fakes – en faisant prononcer de manière crédible des propos à tel ou tel dirigeant en utilisant sa vraie voix. A l’ère de la crainte effrénée de la désinformation, ces deep fakes représentent un nouveau danger. Au-delà de cette technologie spectaculaire, l’IA sera sans doute également au premier rang de la cybersécurité que ce soit dans le domaine défensif avec de nouvelles capacités de protection des systèmes (par analyse des comportements de l’utilisateur) ou, dans le domaine offensif, par la possibilité de créer des maliciels dynamiques adaptatifs. Etant donné la prolifération actuelle des compétences de programmation en intelligence artificielle, équivalente à celle connue dans le domaine de cybersécurité dans les années 2010, il y a fort à parier que l’IA sera au cœur des enjeux sécuritaires des années 2020.