Le 18 septembre 2002, la présidence des Etats-Unis a soumis à la discussion publique un premier projet de rapport sur la sécurité dans le cyberespace. Depuis la fin de la guerre froide, le répertoire des nouvelles menaces fleurit. Le cyberterrorisme est l’une d’elles. “Le cyberterrorisme est la convergence du terrorisme et du cyberespace“, expliquait Dorothy Denning devant le Congrès des Etats-Unis en mai 2000. Dans cet article et les trois entretiens qui suivent, terrorisme.net s’efforce d’y voir plus clair sur un thème de plus en plus souvent évoqué, mais dont les contours restent souvent flous.
Outre ce texte introductif, nous vous invitons à lire les commentaires de trois interlocuteurs qui, à des titres divers, prêtent attention aux questions de sécurité sur Internet et au cyberterrorisme, et ont bien voulu répondre à nos questions:
- Solange Ghernaouti-Hélie, professeur à l’Université de Lausanne, auteur de plusieurs ouvrages et responsable de cycles d’enseignement sur les questions de sécurité informatique.
- Dorothy Denning, professeur à Georgetown University, l’une des spécialistes universitaires américaines du cyberterrorisme, auteur de plusieurs articles sur le sujet.
- Patrick Galley, qui avait rédigé un travail sur le terrorisme informatique durant ses études à l’Ecole polytechnique fédérale de Lausanne (EPFL) en 1996.
Depuis le 11 septembre 2001, où nous avons vu se produire ce que nous n’avions pas imaginé, les scénarios catastrophes ne manquent pas. Les experts du contre-terrorisme (et peut-être les terroristes aussi…) redoublent d’imagination. Exemple d’un scénario souvent évoqué: des terroristes prennent à distance le contrôle d’un barrage. Ils ouvrent les vannes. Une ville est submergée par une masse d’eau.
Un grand quotidien américain a affirmé au mois de juillet 2002 qu’un hacker de 12 ans aurait été très près de provoquer une telle catastrophe en Arizona en 1998, ce qui aurait pu inonder une zone habitée par un million de personnes. Prudence cependant: en réalité, soulignait CNET News dans un article publié le 26 août 2002 sous la signature de Robert Lemos, l’incident s’est produit en 1994, le hacker avait 27 ans et non 12, et – même s’il avait réussi à pénétrer encore plus loin dans le système – il ne serait pas parvenu pour autant à prendre le contrôle du barrage.
L’exemple montre qu’il faut garder la tête froide. Le risque du cyberterrorisme est réel. Les insuffisances en matière de sécurité n’ont pas disparu. Cependant, le cyberterrorisme n’est pas aussi facile à mettre en oeuvre que certains l’imaginent. Les cas graves et à large échelle de cyberattaques auxquels nous avons déjà pu assister n’étaient pas le fait de groupes terroristes.
Si un scénario tel que celui de la prise de contrôle à distance d’un barrage (ou d’une centrale nucléaire) dans des buts malveillants se réalisait, il donnerait des sueurs froides à tous les responsables de la sécurité. Le développement des sociétés modernes s’accompagne de vulnérabilités nouvelles. “Une souris d’ordinateur peut être aussi dangereuse qu’une balle ou une bombe“, s’inquiète un parlementaire américain. A l’inverse, d’autres observateurs se montrent plus sceptiques. Dans le Journal du Net (23 août 2002), Nicolas Six se demandait si la flambée des préoccupations autour de la cybersécurité ne représentait pas surtout une “nouvelle corne d’abondance” pour les entreprises de sécurité? Le marché promet en effet d’être très juteux, et l’attention prêtée aux risques de cette nature promet d’augmenter au cours des années à venir. Le thème n’est pas près de passer de mode.
En tout cas, la menace est prise au sérieux outre-Atlantique. Moins d’un mois après les événements du 11 septembre 2001 a été créé un poste de conseiller spécial du Président des Etats-Unis pour la sécurité dans le cyberespace. C’est Richard Clarke qui l’occupe. Il s’agit de développer une véritable stratégie pour la sécurité du cyberespace. Le 18 septembre 2002, la Maison Blanche a rendu public pour discussion un premier projet de document définissant les priorités de cette stratégie, sous le titre The National Strategy to Secure Cyberspace. Des mesures sont suggérées à cinq niveaux, qui vont des ordinateurs personnels et de l’équipement informatique des petites entreprises au niveau global. Il s’agit manifestement de renforcer aussi la prise de conscience des dangers potentiels existant dans ces domaines.
Cependant, si la cybercriminalité et les attaques contre des systèmes informatiques représentent des problèmes réels, “peu, voire aucune, peuvent être qualifiées d’actes de terrorisme“, estime Dorothy Denning, professeur à Georgetown University. Beaucoup d’utilisateurs ont pesté contre les effets de la propagation de virus tels que le fameux “I love you“, mais aucun Ben Laden de l’Internet ne se cachait derrière ce virus dévastateur. Les attaques contre des sites d’adversaires politiques – par exemple dans le cadre du conflit du Proche-Orient – ne sont pas rares, mais les experts hésitent à classer ces actes de hacking politique dans le catégorie du cyberterrorisme.
Attention cependant à ce que pourrait nous réserver l’avenir: la prochaine génération de terroristes “grandira dans un monde digital” et sera plus apte à en utiliser les possibilités, et peut-être plus tentée aussi de le faire, nous met en garde Dorothy Denning. Le risque du cyberterrorisme croîtra dans notre société en proportion de la place toujours plus grande de l’Internet dans notre vie quotidienne.
Auteur d’un récent Que Sais-Je sur Internet et sécurité, Solange Ghernaouti-Hélie, professeur à l’Ecole des Hautes Etudes Commerciales de l’Université de Lausanne, est une observatrice privilégiée de ces phénomènes. Oui, nous répond-elle, “les infrastructures critiques essentielles au bon fonctionnement d’une société voient leur vulnérabilité augmentée par un recours accru aux technologies Internet qui les rendent accessibles depuis le réseau des réseaux“.
C’est le nœud du risque potentiel, souligné par tous les experts: idéalement, de telles infrastructures ne devraient pas être accessibles à partir d’Internet – ou si elles le sont, une garde vigilante s’impose en permanence contre toute tentative d’intrusion. Dans la plupart des cas, le scénario cauchemar des vannes du barrage ouvertes à distance pour laisser passer des trombes d’eau ne se réalisera pas: trop de barrières entraveront la tentative. Le risque est très faible, mais pas nul: il suffit d’une infrastructure mal protégée quelque part. Les systèmes sont tellement complexes qu’il est pratiquement impossible d’éliminer toutes leurs faiblesses, rappelle Dorothy Denning. Quand on lui dit qu’il semble quand même difficilement imaginable de voir des terroristes s’emparer à distance d’une centrale nucléaire, sa réponse est prudente: “J’espère bien que vous avez raison.”
“La prise de contrôle d’infrastructures critiques semble être l’un des objectifs du cyberterrorisme“, prévient Solange Ghernaouti. La vulnérabilité potentielle des systèmes de production et de distribution d’électricité lui semble cruciale: “cette infrastructure conditionne le fonctionnement de la plupart des autres.” Mais la chercheuse nous invite en même temps à être attentifs à d’autres usages d’Internet: tout ce qui relève de la guerre de l’information, de la manipulation et de la diffusion de rumeurs, de campagnes d’intoxication ou de déstabilisation. Et nous savons bien sûr que des groupes terroristes utilisent Internet pour des activités de propagande aussi bien que comme outil de communication et de récolte d’informations potentiellement utiles.
L’évaluation de Solange Ghernaouti-Hélie est partagée par Patrick Galley, qui avait consacré en 1996 déjà, durant ses études à l’EPFL, un travail au terrorisme informatique. Il s’interroge par exemple sur les conséquences qu’entraînerait la diffusion très rapide de fausses informations susceptibles d’ébranler des marchés boursiers déjà fragilisés.
“On ne peut que constater que la sécurité intérieure d’un pays est aujourd’hui confrontée à des menaces criminelles nouvelles liées à l’existence des nouvelles technologies“, souligne Solange Ghernaouti. La cybercriminalité, prélude au cyberterrorisme? Patrick Galley nuance: “Je reste convaincu que, pour frapper l’opinion publique, un attentat ‘classique’ reste le moyen le plus efficace.” Il s’inquiéterait plutôt d’une démultiplication des effets de telles actions par des moyens informatiques: par exemple en s’attaquant aux infrastructures nécessaires aux secours.
Paradoxe du cyberterrorisme: il préoccupe, mais il ne s’est – heureusement – pas encore réalisé. Selon Dorothy Denning, il devrait être défini comme “l’usage calculé de cyberattaques ou la menace de celles-ci pour susciter la peur“. “Peur“, explique-t-elle, est le mot clé: il faudrait qu’un cyberattentat cause le même choc sur une population que l’explosion de bombes. “Il n’existe pas d’exemples de tels attentats aujourd’hui, mais une attaque qui couperait l’électricité pendant plusieurs jours répondrait probablement à ces critères.”
Jean-François Mayer