J’avoue que le titre peut sembler provocateur, à une époque où l’on ne cesse de nous expliquer que le Calife est un adepte du terrorisme en tout genre (donc implicitement du cyberterrorisme) et qu’il faut lutter contre le phénomène. TV5 aurait d’ailleurs subi ses foudres. (Et en porterait encore les stigmates ?). Face à cette menace, la détermination doit être sans faille et la mobilisation générale.
On peut cependant être circonspect (comme on l’est face à une « fake news » ?) devant cette unanimité de façade, car peu nombreux sont ceux qui expliquent clairement ce qu’est le cyberterrorisme. Le plus étonnant est que, outre sa définition parfois stupéfiante, ce que l’on présente comme ses manifestations le sont tout autant.
Cependant, quelques éléments peuvent expliquer pourquoi le cyberterrorisme est toujours dans un « entre-deux ».
Une définition instable
Le Larousse définit le cyberterrorisme comme suit : Ensemble des attaques graves (virus, piratage, etc.) et à grande échelle des ordinateurs, des réseaux et des systèmes informatiques d’une entreprise, d’une institution ou d’un État, commises dans le but d’entraîner une désorganisation générale susceptible de créer la panique. L’objectif serait donc de créer une panique consécutive à une désorganisation générale. Soit. Mais cela laisse circonspect face à ce qui passe pour des actes de cyberterrorisme, nous y reviendrons.
D’autres que Larousse se sont essayé à définir clairement le cyberterrorisme. Wikipedia cite la définition de Kevin G. Coleman, de l’Institut Technolytics : « l’utilisation préméditée des activités perturbatrices, ou la menace de celle-ci, contre des ordinateurs et / ou réseaux, dans l’intention de causer un préjudice de nature sociale, idéologique, religieuse, politique, ou autres objectifs. Ou pour intimider toute personne dans la poursuite de tels objectifs ». Et de préciser que le terme a été inventé par Barry C. Collin. Il est intéressant de noter que dans cette définition, la menace est considérée comme l’acte (pourquoi pas), et l’objectif n’est pas défini, puisqu’il peut être de quelque nature que ce soit. Cela permet d’englober un peu de tout… Caractéristique d’une mauvaise définition du principe de précaution. Le problème est qu’à mal définir les termes, on en vient à faire n’importe quoi car on n’a plus de base commune.
Selon l’IRA de Nantes deux approches tendent à se distinguer : une définition extensive considérant le cyberterrorisme comme l’ensemble des pratiques en ligne initiées par des groupes terroristes ; une définition restrictive dans laquelle le cyberterrorisme concerne uniquement les attaques commises via le réseau Internet comme arme et/ou cible. Problèmes là aussi (pourtant, on aurait pu penser que l’IRA nous en remontrerait sur le sujet ;-). En effet, le cyberterrorisme est commis par des groupes terroristes. Mais si un groupe se constitue et commet un premier acte terroriste en ligne, comment savoir si c’est du terrorisme puisque, n’ayant rien fait auparavant, il ne peut être qualifié de terroriste… Et parmi les attaques commises via le réseau Internet comme arme et/ou cible, on trouve la bonne cybercriminalité classique…
Reconnaissons que ces essais de définition ne nous avancent pas beaucoup. Tentons donc de revenir aux fondamentaux.
Le code pénal définit ainsi le terrorisme dans son article 421-1 : Constituent des actes de terrorisme, lorsqu’elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur, les infractions suivantes (…) On en déduit que le terrorisme se définit donc plus par sa finalité que par ses moyens, ces derniers étant des infractions à la loi pénale. Nous y retrouvons la « patte » des juristes français pour lesquels tout est question d’appréciation : qu’est-ce que troubler gravement l’ordre public ? Par extrapolation (mais restons prudents), le cyberterrorisme serait du terrorisme dans le cyberespace, ou du terrorisme commis à l’aide de moyens informatiques.
Là encore, le doute plane, dans la mesure où tout est question d’interprétation et donc de sensibilité. Voyons si les manifestations de ce que l’on appelle le cyberterrorisme peuvent éclairer notre lanterne.
Manifestations passées du cyberterrorisme
Parmi les exemples de manifestations de cyberterrorisme selon wikipedia, nous avons : essentiellement non-politiques des actes de sabotage ont provoqué des dommages financiers et autres. Mais alors, sabotage ou terrorisme ? Et les dommages financiers ou autres (encore une fois, admirons le caractère très vague de la définition) troublent-ils gravement l’ordre public ? Dans le cas de la Grèce, les dommages financiers (cependant non dus à des cyberattaques) l’ont assurément troublé, mais qu’en est-il lorsque le nombre de victimes est limité ? Et encore en 1999, les pirates ont attaqué les ordinateurs de l’OTAN. Les ordinateurs les ont inondés de courriels et ont frappé avec un déni de service (DoS). Mais alors, tout DoS serait-il un acte de terrorisme ? A ce compte, OVH a été récemment la cible d’une attaque terroriste.
Puis, la cyberattaque contre l’Estonie (2007) est évoquée. Et l’attaque contre le site internet du président ukrainien la même année (2007). Et encore des attaques contre des sites gouvernementaux américains en 2009. Bigre ! A ce titre, tout acte cyber nuisible est un acte de cyberterrorisme. Donc la cyberdélinquance serait du cyberterrorisme ?
L’IRA (de Nantes) cite comme formes du cyberterrorisme : Bien que protéiformes, les principaux types d’attaques sont au nombre de trois : le cyber-sabotage, l’espionnage et la déstabilisation. De confusion en confusion, nous n’allons bientôt plus rien comprendre. L’espionnage est-il un acte de (cyber) terrorisme ? Mais comme il a pour caractéristique de demeurer discret, comment peut-il troubler gravement l’ordre public ? Et lorsque le sabotage n’est pas proclamé par la victime, est-ce du terrorisme ?
Un autre site internet nous donne les exemples suivants : plus de 25.000 sites internet français ont été attaqués par des hackers islamistes. Ces attaques ont, pour la plupart, consisté à remplacer la page d’accueil par un message haineux. Bref, un classique défaçage. Le même nous parle de la pantalonnade de TV5 Monde. Et de citer un entretien du directeur général de TV5 Monde à France Info : Les règles de sécurité informatique ont dû être renforcées avec des mots de passe beaucoup plus complexes et modifiés fréquemment. Il est sûr qu’afficher sur les murs de TV5 monde la consigne « le mot de passe pour youtube est : lemotdepassepouryoutube » revient à dépasser les abysses les plus insondables de la cyberstupidité…
Manifestations possibles du cyberterrorisme
Bon, me direz-vous, les exemples cités précédemment ne sont pas pertinents. Je le reconnais mais ne suis pas l’auteur de leur classement dans le cyberterrorisme. Il faut donc d’autres exemples, plus parlants. Mais lesquels ? Quelles ont été les manifestations récentes irréfutables du cyberterrorisme ? Je n’en vois pas beaucoup.
Par contre, on sait jouer à nous faire peur avec du cyberterrorisme potentiel. C’est ainsi que cette page nous explique les dégâts potentiels résultant d’une cyberattaque dirigée contre une station électrique : The Aurora vulnerability can damage or destroy large, critical long lead-time equipment that could result in extended outages. Additionally, the information on Aurora was declassified by DHS making it publicly available. Several years ago, DOD proposed to do an Aurora hardware mitigation project with PG&E, but was not done. We do not know if the Larkin Street substation and other PG&E substations are susceptible to Aurora or have installed the requisite Aurora hardware mitigation. La vulnérabilité Aurora tire son nom d’une expérience du laboratoire national de l’Idaho (INL) qui a prouvé qu’une cyberattaque pouvait endommager physiquement des composants de la grille électrique. La vidéo du résultat est consultable ici. Wikipedia l’explique en mode texte…
Et face à cette peur, que font les États ? Ils ne peuvent se contenter de déclarations plutôt fatalistes telles que « Les jeunes Français doivent s’habituer à vivre durablement avec la menace d’attentats » et « Votre génération, votre classe d’âge, doit s’habituer à vivre avec ce danger pendant un certain nombre d’années » que l’on trouve ici. Pourtant, la protection des SI industriels progresse doucement… Et si les efforts de l’ANSSI sont louables, qu’en est-il des PME ?
Enfin, dans la mesure où Stuxnet s’est propagé bien au-delà de sa cible et que l’Internet fait dépendre tout le monde de tout le monde de par l’interconnexion généralisée, un acte de cyberterrorisme pourrait avoir des retombées non mesurées sur le net. Et donc couper le net également pour les cyberterroristes. Mais sans net, plus d’argent puisque nous semblons nous acheminer vers un contrôle de plus en plus draconien de l’argent liquide. Donc sans net, plus de flux financiers possibles pour financer les opérations à venir. Donc plus d’opérations. Donc plus de Califat…
Nous le voyons donc, analyser les actes de cyberterrorisme, qu’ils aient eu lieu ou soient potentiels ne nous avance pas plus. Et n’oublions pas qu’un acte de terrorisme doit être visible, causer des dégâts remarqués, pouvoir être revendiqué, et plonger la population dans la peur (car la cible du terrorisme est la population). Si c’est bien le cas d’une attaque classique (bombe, fusillade, etc.) comme nous l’avons vu récemment en Angleterre, comment réunir tous ces éléments pour une cyberattaque ? Puisque la cible d’une attaque terroriste est la population, une attaque de type Stuxnet l’effraye-t-elle plus que le piratage des élections ? Qui a tremblé de peur après l’attaque de TV5 monde ?
Cette confusion de vocabulaire et d’exemples s’expliquerait peut-être par le fait que le cyberterrorisme n’existe pas encore, tout simplement.
Pour étayer cette hypothèse, deux pistes sont à explorer, le faible coût des attaques actuelles, et l’aversion des organisations terroristes pour la technologie.
Le faible coût des attaques actuelles
Lorsqu’une organisation terroriste mène une action dans le monde réel, une de ses caractéristiques est son faible coût (et ses grandes retombées attendues). Pour mener ses actions, dont celle de l’hyper cacher, Coulibaly a contracté un crédit à la consommation chez Cofidis, pour un montant de 6 000€. Le coût estimé de son attaque est celui d’une kalachnikov au marché noir, de quelques cartouches et, au plus, d’une voiture. Un budget de 10 000 € est donc largement suffisant pour tuer, tenir la population en haleine et dans l’effroi, et faire parler de soi.
Quant à la visibilité de l’attaque, notre presse (que le monde entier nous envie sûrement) s’en est chargée.
Les victimes ont été nombreuses, il y a eu un impact notable sur la population, et le calife a revendiqué les attaques, vous en trouverez les traces ici et là.
Dans la mesure où à peine 10 000€ suffisent à causer un choc profond dans le pays, pourquoi tenter de monter des cyberattaques ? D’autant plus que, d’après ce blog, Selon un document classé « secret » d’une agence européenne de renseignement, il aurait fallu trois ans pour développer Stuxnet à un coût frisant les millions à deux chiffres. Symantec estime que les essais ont dû occuper de cinq à dix programmateurs pendant six mois (…) Si l’on estime qu’un programmeur de bon niveau est payé environ 3 000€ par mois, la masse salariale nécessaire est comprise entre 90 000 et 180 000€ (hors charges sociales). Avec cette même somme, on peut préparer entre 15 et 30 attaques coulibalesques… Sans compter les frais annexes en tout genre (récupération d’informations, tests, etc.). Et sans prendre en compte les délais. 3 ans pour Stuxnet, à peine quelques jours pour Coulibaly ? Là encore, la comparaison ne plaide pas pour le cyberterrorisme. Et si l’on veut prolonger la discussion sur ce sujet, l’attentat de Nice est estimé à moins de 2000 €, et l’assassinat du P. Hamel à Saint Étienne du Rouvray a coûté le prix d’un couteau de cuisine en céramique (même pas 10€ chez CDiscount).
Quant à attaquer des robots d’une chaîne de production moins confidentielle que celle de la centrale de Natanz (Iran, Stuxnet), TrendMicro estime que le budget de leur préparation reste non négligeable : For example, a search on online marketplaces (e.g., globalrobots.com, ebay.com, and alibaba.com) revealed that the IRB 140 manipulator from ABB, which matches the reference setup we used in our experimental analysis, can be purchased for US$13,000−28,950 together with an outdated S4C controller while other manipulators with an IRC5 controller can be found and bought for US$ 24,999−35,500. Access to specific features (e.g., the GPRS remote service box of the robot that we analyzed) is more complex, as the service box is only available directly from the vendor as part of support contracts. Là encore, c’est bien plus cher qu’une attaque coulibalesque, avec un résultat médiatique moins assuré.
Tout cela nous prouve que le terrorisme classique présente un retour sur investissement digne d’intérêt. Pourquoi alors investir beaucoup pour des actes qui seront difficiles à revendiquer ?
De plus, la revendication s’effectuant toujours a posteriori, il faut être certain que l’attaque a porté ses fruits. L’absence de témoins affiliés au groupe terroriste sur les lieux, ou la nature de l’attaque (suicide) peut expliquer les différences entre le nombre de terroristes devant agir et ceux qui sont effectivement passés à l’action. Si cette erreur de communication ne nuit pas nécessairement à l’organisation terroriste, le long-feu d’un attentat nuit à son image. Ce fut le cas de l’attaque dans le Thalys.
C’est pour cela qu’afin de rester crédible, les attaques menées par l’organisation terroriste doivent être à la fois robustes et fiables.
La robustesse se définit comme la fiabilité de la performance. Est-elle toujours présente dans des opérations cyber ? L’expérience prouve que non.
Un système est dit fiable lorsque la probabilité de remplir sa mission sur une durée donnée correspond à celle spécifiée dans le cahier des charges. Les opérations cyber ne le sont pas toujours.
Ces arguments ne peuvent cependant être les seuls à prendre en compte pour expliquer l’inexistence des actes de cyberterrorisme. Un autre peut être que, comme dans beaucoup d’organisations, les chefs terroristes n’ont que peu d’appétence pour le numérique.L’aversion des terroristes pour le numérique
Cette faible appétence, ou plutôt cette aversion des dirigeants terroristes pour le cyberterrorisme peut s’expliquer par 2 éléments (+1 spécial Calife) :
- une méconnaissance générale du cyber et de l’informatique ;
- une prudence (pour le moins) face à l’innovation, propre à toute organisation, qui ne pousse donc pas à innover en se lançant dans le cyberterrorisme ;
- le paradis ne se gagne pas à coup d’attaques cyberterroristes.
Le premier point me sera contesté, au motif que le Calife est présent sur les réseaux sociaux, qu’il s’attaque aux pages internet de tous ses adversaires, qu’il a piraté TV5 monde (bref rappel de ce qui est écrit supra : l’arrêt de TV5 monde a-t-il fait paniquer la population française ?), etc. etc. et que, selon certains, il pourrait même créer un réseau social spécifique calife. Oui, et ?
Beaucoup d’hommes politiques français ont des comptes twitter, mais je doute qu’ils soient geeks, qu’ils comprennent comment cela fonctionne, ou qu’ils soient prêts à développer des services numériques. Aucun d’eux n’a d’ailleurs pointé du doigt les (récents et nombreux) loupés de SAIP, l’application que le monde entier doit nous envier. Et les remarques de l’ANSSI et d’INRIA à propos de TES (pour ce dernier lien, se reporter au dernier paragraphe) les ont laissés de marbre.
Je me lance et pense donc que le Calife, à l’image de nos décideurs, n’y comprend pas grand chose et applique le principe de précaution prudence : dans le doute abstiens-toi. Les initiatives existant devant être le fait, non de loups solitaires, mais de geeks solitaires, alors. D’ailleurs, comme il est signalé ici, malgré les cris d’orfraie de nos éminentes éminences, on trouve peu d’éléments en lien avec le terrorisme là où ils devraient se trouver. En outre, le cyber dépendant fortement de l’alimentation en électricité, une attaque cyberterroriste ne pourrait être lancée que d’un pays où l’alimentation en électricité est continue et non aléatoire. Or les territoires administrés par le Calife n’ont peut-être pas de l’électricité H24… Ce qui imposerait de déclencher l’attaque d’un pays où les infidèles sont légion. Peu compatible avec le fait de couvrir ses arrières.
La résistance à l’innovation est une caractéristique de pratiquement toutes les organisations. Si une organisation a pu naître en innovant, par la suite elle a tendance à se replier sur ce qu’elle sait faire ou connaît, et les innovateurs sont assez mal vus en son sein. Rappelons que ce n’est pas parce qu’une organisation copie ce qui se fait ailleurs, qu’elle est forcément bien disposée envers l’innovation. il y a des rites à suivre, qui peuvent s’apparenter au culte du cargo. Malgré cela, nous sommes poussés à penser que :
- comme le Calife est un terroriste qui a des capacités cyber (il a déjà défacé des sites) ;
- que les attaques contre l’informatique de production sont possibles et symptomatiques d’un cyberterrorisme ;
- alors le Calife mènera des attaques cyberterroristes contre l’informatique de production des gentils (nous).
Ajoutons également que revendiquer un acte de cyberterrorisme c’est, d’une certaine manière, brûler ses vaisseaux en donnant (implicitement) des indices sur la façon de faire et son niveau d’excellence. Les auteurs de Stuxnet n’ont rien revendiqué. Il y a de fortes présomptions sur leur identité, mais aucune certitude, ce qui prolonge l’inattribution de l’attaque. Ne pas revendiquer un éventuel acte de cyberterrorisme revient à garder une chance de frapper de nouveau de la même façon.
Enfin, si une attaque terroriste permet de gagner le paradis, car comme on le trouve sur le site echoradar : une autre caractéristique des actions djihadistes est qu’elles doivent s’achever par la mort de leur auteur et cette soif de marcher au martyre est un signe évident de foi, l’attaque cyberteroriste n’entraîne pas le martyre de son auteur. A moins qu’on m’explique en quoi consiste le cybermartyre…
Alors ?
Ne perdons pas de vue que, malgré les possibilités techniques de mener des attaques cyberterroristes, leur coût continuera d’être élevé pour un résultat incertain, car les cibles n’avoueront jamais qu’elles ont été victimes de cyberterrorisme. Et sans complainte de la victime, la revendication est difficilement crédible. Mais, à l’inverse, les pleurs de la victime (TV5 monde par exemple) ne suffisent pas à constituer le cyberterrorisme.
Donc, un coût élevé et un résultat incertain n’ont pas la faveur des pronostics face à des attaques peu chères et médiatiquement imparables.
De plus, les déclarations répétées des politiques sur le contrôle et la régulation de l’internet laissent penser que, assez tôt plutôt que tard, nous y viendrons et que toutes les communications seront effectivement écoutées et triées au nom de la lutte contre le terrorisme, bien sûr : « We cannot allow this ideology the safe space it needs to breed. Yet that is precisely what the internet and the big companies that provide internet-based services provide. We need to work with allied democratic governments to reach international agreements that regulate cyberspace to prevent the spread of extremist and terrorism planning, and we need to do everything we can at home to reduce the risks of extremism online. » Préparer un cyberattentat laissant des cyber traces, la probabilité d’un vaste cyber coup de filet suite à leur découverte entretiendra encore un peu plus l’aversion des dirigeants terroristes pour la technologie (qu’ils connaissent mal).
Ce qui continue de me laisser perplexe quant à la mise en œuvre du cyberterrorisme et sa propagation dans le monde, sans cependant exclure le renouvellement d’attaques non maîtrisées (type Wannacry), habillées du mot de cyberterrorisme.
]]>