Le temps, iceberg de la cyberstratégie (3/4)

No Comments

La dilatation du temps

Nous venons de le suggérer, ne prendre en compte que le temps court dans le cyberespace est séduisant mais illusoire. On ne peut s’en affranchir, car il faut du temps pour préparer les frappes comme le rappelle Eric Filiol dans un entretien avec Emmanuelle Lamandé : L’objectif est d’avoir une image très précise de la cible, de ses façons de procéder, … L’attaquant a le temps de tout planifier (renseignement, préparation, …). L’attaque doit, par contre, être soudaine pour la victime1. De la même manière, et même si l’auteur ne le dit pas, il faut également du temps pour la défense : on ne peut se défendre correctement que si l’on a anticipé, au moins partiellement, l’attaque.

Source

Les exemples en ce sens abondent pour qui veut bien se donner la peine de les étudier. Ainsi, Adam Penenberg, professeur à l’université de New York et journaliste en a donné lui-même la preuve en demandant à un laboratoire de mener une cyber attaque contre lui. C’est alors qu’il n’y pensait plus, qu’il reconnut l’habileté des hackers du laboratoire lorsqu’ils réussirent à éteindre son ordinateur, qu’une demande de code à 4 chiffres s’afficha dessus pour le redémarrer, et que son iphone se mit à biper alors qu’il donnait un cours2. Par la suite, les auteurs lui expliquèrent que le temps qui s’était écoulé entre la commande et l’exécution était du à la reconnaissance de l’objectif et à l’essai de différentes attaques jusqu’à trouver celle qui réussirait.

Si l’on aborde cette question d’un point de vue militaire, Stuxnet est la meilleure preuve de la survivance du temps long dans le cyberespace : si le monde a été frappé de la soudaineté de la détérioration des centrifugeuses iraniennes, il a cependant fallu un temps certain (jamais explicitement mentionné) pour concevoir ce maliciel ainsi qu’un certain temps avant qu’il ne remplisse sa mission.

Quelques années plus tôt, le 6 septembre 2007, Israël surprit tout le monde en frappant la Syrie dans le secteur de Deir el zor, l’opération étant précédée d’une préparation cyber aveuglant ou prenant le contrôle des systèmes de défense syriens3. Si la frappe fut soudaine, sa préparation nécessita vraisemblablement un certain temps.

Encore plus tôt, en 1981, Israël put frapper le réacteur Osirak parce qu’il connaissait les caractéristiques des radars anti-aériens ce qui permit leur neutralisation, assurant la sécurité des avions qui allèrent frapper la centrale.

Ce constat, valable pour l’attaque l’est également pour la défense, car le préalable au développement des contre-mesures cyber est la connaissance précise des mesures prises par l’ennemi.

Pour les cas israélo-syriens mentionnés supra, nous voyons que la Syrie n’a pu se protéger efficacement des frappes israéliennes, notamment parce qu’elle ne connaissait pas avec précision les moyens de son ennemi.

Plus récemment, la certitude que les membres du califat chiffraient leurs messages avant de les envoyer a soulevé la question de leur déchiffrement. Or celui-ci est subordonné à la découverte de la clé de chiffrement, laquelle ne peut s’effectuer instantanément. De ce fait, les débats ont dévié vers l’interdiction générale du chiffrement via l’Internet, censée prévenir de tels échanges, oubliant que les terroristes se plaçant hors la loi, l’interdiction du chiffrement ne les gênera guère.

Nous le voyons, bien que nous ayons basculé dans un monde dont bien des aspects sont virtuels, la construction d’une muraille nécessite du temps, quand bien même elle serait cybernétique. Mais à la différence du monde réel, il n’existe pas dans le cyberespace d’arme absolue telle l’arme nucléaire. La réflexion stratégique doit donc prendre en compte les retombées de « l’arme » cyber sur son propre camp : ainsi Stuxnet, conçu pour donner un coup d’arrêt au programme nucléaire militaire iranien, a été retrouvé dans des entreprises industrielles dont l’activité est bien loin du nucléaire.

À l’instar du monde réel, toute décision dans le cyberespace est précédée par un temps de réflexion et d’évaluation de ses conséquences.

Mais il est encore difficile d’estimer ce temps. Si l’on prend pour référence les délais nécessaires à la conception et la mise au point d’un projet informatique (qui se rapproche le plus ou s’éloigne le moins – d’une décision de cyberstratégie), nous constatons que leur estimation est peu fiable, tant les dérives sont nombreuses. L’inconnue demeure donc, preuve que le temps long n’a pas encore été aboli dans le cyberespace.

Ainsi, nous pouvons constater que, dans le cyberespace, le temps subit à la fois une contraction due à la concision, l’ubiquité et l’instantanéité, et une dilatation car le temps nécessaire à la préparation d’une opération, ou celui qu’impose la préparation d’une stratégie, demeure non négligeable malgré les progrès de la simulation.

Le temps met donc tout cyberstratège ou cyberstratégiste face à un paradoxe : l’immédiateté des effets nécessite des délais de préparation non maîtrisables.

Peut-on alors envisager sa dissolution dans le cyberespace, ou continuera-t-il de dicter sa loi aux stratèges et stratégistes du cyberespace ?

A suivre…

———————————————

1Entretien d’Éric Filiol avec Emmanuelle Lamandé in Global Security Mag, mars 2009.

2In L’entreprise, nouveaux défis cyber, Economica, 2014.

Categories: temps Étiquettes : , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *