Cyber-attaques : l’Amérique désigne ses ennemis

Posté le 12. Août 2023  •  6 minutes  • 1233 mots

🌴 C’est les vacances, je suis bien dans mon transat’ 😎.
Quitter la ville pour quelques semaines de calme et de repos au cœur des montagnes pyrénéennes m’a permis, entre randos et visites, de dévorer le très bon livre de Mark Corcoral : Cyber-attaques : l’Amérique désigne ses ennemis - L’Harmattan, 2021, dont voici ma note de lecture.

Mark Corcoral est doctorant chercheur et enseignant au Centre de Recherches Internationales (CERI) de Sciences Po associé à l’Institut de Recherche Stratégique de l’École Militaire (IRSEM). Spécialiste de la politique de sécurité nationale des États-Unis, ses recherches portent sur les usages stratégiques du droit et sur la cyber-sécurité¹.

Les premières cyber-attaques datent de la deuxième moitié des années 1980. Devant leur intensification, la cyber-sécurité est nécessairement devenue un enjeu politique dès les années 2000 pour faire face à cette véritable “vulnérabilité structurelle, consécutive à notre connectivité” qu’est devenu le cyber-espace.

Depuis 2014, les États-Unis ont décidé de passer aux attributions publiques concernant les cyber-attaques étatiques dont ils étaient victimes. Les attributions publiques d’acteurs non-étatiques n’ont pas d’intérêt car cela reviendrait à donner à certains groupes (Anonymous, Lulzsec, ShadowBrokers…) “la visibilité qu’ils recherchent”. Ainsi, fin 2020, c’est plus de 26 attaques que les États-Unis ont publiquement attribuées ! Certains autres pays (“Canada, Corée du Sud, Allemagne, Liban […]”) leur emboîteront le pas dans cette voie de l’attribution publique mais dans une tout autre mesure, “plus rarement et avec des effets moindres”.

La question centrale à laquelle Mark Corcoral apporte des réponses est : “Pourquoi les États-Unis attribuent-ils publiquement des cyber-attaques à d’autres États ?”

Ce livre a pour objet de comprendre les "processus et effets des attributions publiques des attaques cyber dont les États-Unis sont l’objet" par le prisme des sciences politiques, sociales (notamment la sociologie des relations internationales) et du droit international.

Tout au long de l’ouvrage, l’auteur revient sur plusieurs cyber-attaques qui ont marqué les esprits et l’actualité comme : Stuxnet (la première à avoir créé des destructions physiques)², WannaCry (qui pose la question du stockage des 0-day par des gouvernements…), notPetya, solarWinds …

Mais le chercheur ne se contente pas de regarder les conséquences techniques des cyber-attaques pour les analyser, bien au contraire, l’intérêt de cette étude est “d’apprécier le contexte social et politico-stratégique dans lequel elles s’insèrent” pour mieux les comprendre.

Après une introduction qui pose les bases solides de cet ouvrage de recherche (étayé par plusieurs dizaines de pages de bibliographie), le livre se compose de deux grandes parties. La première explique comment l’attribution publique “témoigne d’une volonté de projeter une image sur la scène internationale”. Quant à la seconde, elle permet de montrer que “l’attribution publique témoigne d’une volonté de l’Amérique de projeter sa puissance sur la scène internationale”.

La première partie nous permet de bien comprendre que l’attribution publique permet aux États-Unis de finalement définir ce qui est acceptable et inacceptable en termes de cyber-attaques. Plus précisément le but est de “transformer leurs standards propres en normes internationales” ³, comme l’explique l’auteur. D’ailleurs, l’un des passages qui m’a le plus frappé concerne deux exemples en rapport avec cette définition de l’acceptabilité pour les Américains.

D’une part, un exemple de l’acceptable. Lorsque la presse américaine a impliqué la Chine dans le piratage de l’Office of Personnel Management (attaque informatique ayant permis l’exfiltration des données relatives à 21 millions d’employés américains à la retraite ou sous contrat avec le gouvernement fédéral), aucune attribution publique de la part des États-Unis n’a été faite. De surcroît, le Directeur National du Renseignement James Clapper a même déclaré : "Il faut saluer ce que les Chinois ont fait. […] Si nous avions eu l’opportunité de le leur faire, je ne pense pas que nous aurions hésité une seule minute.".

D’autre part, un exemple de l’inacceptable. La politique de Barack Obama a fait en sorte que, par le biais de l’attribution publique notamment, le vol de propriété intellectuelle à des fins commerciales soit défini comme inacceptable. Huit des attribution publiques sur 16 de 2018 à 2020 concernaient ce motif⁴.

Dans la seconde partie de l’ouvrage, j’ai beaucoup aimé les réflexions et explications autour de l’emploi de la stigmatisation et des effets de coalitions que génèrent les attributions publiques. On saisit également la puissance de l’appareil judiciaire américain, notamment via son extraterritorialité, et dont les institutions sont “suffisamment internationalisées pour pouvoir espérer atteindre les adversaires des États-Unis de manière visible” ⁵.

L’auteur soulève également dans cette partie un paradoxe intéressant : “Les États les plus avancés technologiquement sont à la fois les plus capables de conduire des cyber-attaques mais également les plus susceptibles d’en être les victimes” ⁶. J’apprends ainsi que la Corée du Nord, en plus de fonctionner avec des protocoles informatiques différents du reste du monde, n’héberge qu’environ 1000 adresses IP quand la Corée du Sud en héberge 112 millions par exemple. C’est dire comme la surface d’attaque est différente d’un État à l’autre !

C’est l’une des raisons pour lesquelles les attributions publiques par les USA sont de plus en plus utilisées. Ces dernières permettent une “riposte asymétrique” (sur un autre plan que cyber) car l’adversaire est nécessairement moins vulnérable sur le plan cyber que ne le sont les États-Unis, structurellement. L’intérêt des États-Unis est donc d’étendre le conflit pour répondre là où ils le peuvent : judiciairement, économiquement, diplomatiquement… C’est d’ailleurs là qu’entrent en jeu toutes les questions autour du droit international et de son interprétation dans le domaine cyber. Passionnant !

Pour conclure, j’ai trouvé l’ouvrage passionnant. Je n’imaginais pas à quel point le cyberespace avait un telle résonance dans les relations internationales. J’ai trouvé captivants les passages qui permettent de comprendre l’importance du cyberespace dans les relations géo-politiques ou encore ceux qui s’attardent sur certaines cyber-attaques d’ampleur comme WannaCry.

Enfin, la richesse de la bibliographie est remarquable, c’est pour moi un ouvrage de référence en la matière. Assurément, mon regard sur les cyber-attaques et leurs attributions publiques sera désormais plus éclairé et me permettra une meilleure appréhension de l’actualité cyber.