Le 18 septembre 2002, la présidence des Etats-Unis
a soumis à la discussion publique un premier projet de
rapport sur la sécurité dans le cyberespace. Depuis
la fin de la guerre froide, le répertoire des nouvelles
menaces fleurit. Le cyberterrorisme est l'une d'elles. "Le
cyberterrorisme est la convergence du terrorisme et du cyberespace",
expliquait Dorothy Denning devant le Congrès des Etats-Unis
en mai 2000. Dans cet article et les trois entretiens qui suivent,
terrorisme.net s'efforce d'y voir plus clair sur un thème
de plus en plus souvent évoqué, mais dont les
contours restent souvent flous.
Outre ce texte introductif, nous vous invitons à
lire les commentaires de trois interlocuteurs qui, à
des titres divers, prêtent attention aux questions de
sécurité sur Internet et au cyberterrorisme,
et ont bien voulu répondre à nos questions:
Depuis le 11 septembre 2001, où nous avons vu se produire
ce que nous n'avions pas imaginé, les scénarios
catastrophes ne manquent pas. Les experts du contre-terrorisme
(et peut-être les terroristes aussi...) redoublent d'imagination.
Exemple d'un scénario souvent évoqué: des
terroristes prennent à distance le contrôle d'un
barrage. Ils ouvrent les vannes. Une ville est submergée
par une masse d'eau.
Un grand quotidien américain a affirmé au mois
de juillet 2002 qu'un hacker de 12 ans aurait été
très près de provoquer une telle catastrophe en
Arizona en 1998, ce qui aurait pu inonder une zone habitée
par un million de personnes. Prudence cependant: en réalité,
soulignait CNET
News dans un article publié le 26 août
2002 sous la signature de Robert Lemos, l'incident s'est produit
en 1994, le hacker avait 27 ans et non 12, et - même s'il
avait réussi à pénétrer encore plus
loin dans le système - il ne serait pas parvenu pour
autant à prendre le contrôle du barrage.
L'exemple montre qu'il faut garder la tête froide. Le
risque du cyberterrorisme est réel. Les insuffisances
en matière de sécurité n'ont pas disparu.
Cependant, le cyberterrorisme n'est pas aussi facile à
mettre en oeuvre que certains l'imaginent. Les cas graves et
à large échelle de cyberattaques auxquels nous
avons déjà pu assister n'étaient pas le
fait de groupes terroristes.
Si un scénario tel que celui de la prise de contrôle
à distance d'un barrage (ou d'une centrale nucléaire)
dans des buts malveillants se réalisait, il donnerait
des sueurs froides à tous les responsables de la sécurité.
Le développement des sociétés modernes
s'accompagne de vulnérabilités nouvelles. "Une
souris d'ordinateur peut être aussi dangereuse qu'une
balle ou une bombe", s'inquiète un parlementaire
américain. A l'inverse, d'autres observateurs se montrent
plus sceptiques. Dans le Journal
du Net (23 août 2002), Nicolas Six se demandait
si la flambée des préoccupations autour de la
cybersécurité ne représentait pas surtout
une "nouvelle corne d'abondance" pour les entreprises
de sécurité? Le marché promet en effet
d'être très juteux, et l'attention prêtée
aux risques de cette nature promet d'augmenter au cours des
années à venir. Le thème n'est pas près
de passer de mode.
En tout cas, la menace est prise au sérieux outre-Atlantique.
Moins d'un mois après les événements du
11 septembre 2001 a été créé un
poste de conseiller spécial du Président des Etats-Unis
pour la sécurité dans le cyberespace. C'est Richard
Clarke qui l'occupe. Il s'agit de développer une véritable
stratégie pour la sécurité du cyberespace.
Le 18 septembre 2002, la
Maison Blanche a rendu public pour discussion un premier projet
de document définissant les priorités de cette
stratégie, sous le titre The National Strategy to
Secure Cyberspace. Des mesures sont suggérées
à cinq niveaux, qui vont des ordinateurs personnels et
de l'équipement informatique des petites entreprises
au niveau global. Il s'agit manifestement de renforcer aussi
la prise de conscience des dangers potentiels existant dans
ces domaines.
Cependant, si la cybercriminalité et les attaques contre
des systèmes informatiques représentent des problèmes
réels, "peu, voire aucune, peuvent être
qualifiées d'actes de terrorisme", estime Dorothy
Denning, professeur à Georgetown University. Beaucoup
d'utilisateurs ont pesté contre les effets de la propagation
de virus tels que le fameux "I love you", mais
aucun Ben Laden de l'Internet ne se cachait derrière
ce virus dévastateur. Les attaques contre des sites d'adversaires
politiques - par exemple dans le cadre du conflit du Proche-Orient
- ne sont pas rares, mais les experts hésitent à
classer ces actes de hacking politique dans le catégorie
du cyberterrorisme.
Attention cependant à ce que pourrait nous réserver
l'avenir: la prochaine génération de terroristes
"grandira dans un monde digital" et sera plus
apte à en utiliser les possibilités, et peut-être
plus tentée aussi de le faire, nous met en garde Dorothy
Denning. Le risque du cyberterrorisme croîtra dans notre
société en proportion de la place toujours plus
grande de l'Internet dans notre vie quotidienne.
Auteur d'un récent Que Sais-Je sur Internet et sécurité,
Solange Ghernaouti-Hélie, professeur à l'Ecole
des Hautes Etudes Commerciales de l'Université de Lausanne,
est une observatrice privilégiée de ces phénomènes.
Oui, nous répond-elle, "les infrastructures critiques
essentielles au bon fonctionnement d'une société
voient leur vulnérabilité augmentée par
un recours accru aux technologies Internet qui les rendent accessibles
depuis le réseau des réseaux".
C'est le nœud du risque potentiel, souligné par tous
les experts: idéalement, de telles infrastructures ne
devraient pas être accessibles à partir d'Internet
- ou si elles le sont, une garde vigilante s'impose en permanence
contre toute tentative d'intrusion. Dans la plupart des cas,
le scénario cauchemar des vannes du barrage ouvertes
à distance pour laisser passer des trombes d'eau ne se
réalisera pas: trop de barrières entraveront la
tentative. Le risque est très faible, mais pas nul: il
suffit d'une infrastructure mal protégée quelque
part. Les systèmes sont tellement complexes qu'il est
pratiquement impossible d'éliminer toutes leurs faiblesses,
rappelle Dorothy Denning. Quand on lui dit qu'il semble quand
même difficilement imaginable de voir des terroristes
s'emparer à distance d'une centrale nucléaire,
sa réponse est prudente: "J'espère bien
que vous avez raison."
"La prise de contrôle d'infrastructures critiques
semble être l'un des objectifs du cyberterrorisme",
prévient Solange Ghernaouti. La vulnérabilité
potentielle des systèmes de production et de distribution
d'électricité lui semble cruciale: "cette
infrastructure conditionne le fonctionnement de la plupart des
autres." Mais la chercheuse nous invite en même
temps à être attentifs à d'autres usages
d'Internet: tout ce qui relève de la guerre de l'information,
de la manipulation et de la diffusion de rumeurs, de campagnes
d'intoxication ou de déstabilisation. Et nous savons
bien sûr que des groupes terroristes utilisent Internet
pour des activités de propagande aussi bien que comme
outil de communication et de récolte d'informations potentiellement
utiles.
L'évaluation de Solange Ghernaouti-Hélie est
partagée par Patrick Galley, qui avait consacré
en 1996 déjà, durant ses études à
l'EPFL, un travail au terrorisme informatique. Il s'interroge
par exemple sur les conséquences qu'entraînerait
la diffusion très rapide de fausses informations susceptibles
d'ébranler des marchés boursiers déjà
fragilisés.
"On ne peut que constater que la sécurité
intérieure d'un pays est aujourd'hui confrontée
à des menaces criminelles nouvelles liées à
l'existence des nouvelles technologies", souligne Solange
Ghernaouti. La cybercriminalité, prélude au cyberterrorisme?
Patrick Galley nuance: "Je reste convaincu que, pour
frapper l'opinion publique, un attentat 'classique' reste le
moyen le plus efficace." Il s'inquiéterait plutôt
d'une démultiplication des effets de telles actions par
des moyens informatiques: par exemple en s'attaquant aux infrastructures
nécessaires aux secours.
Paradoxe du cyberterrorisme: il préoccupe, mais il ne
s'est - heureusement - pas encore réalisé. Selon
Dorothy Denning, il devrait être défini comme "l'usage
calculé de cyberattaques ou la menace de celles-ci pour
susciter la peur". "Peur", explique-t-elle,
est le mot clé: il faudrait qu'un cyberattentat cause
le même choc sur une population que l'explosion de bombes.
"Il n'existe pas d'exemples de tels attentats aujourd'hui,
mais une attaque qui couperait l'électricité pendant
plusieurs jours répondrait probablement à ces
critères."
Jean-François Mayer
