29/12/2011

Le renseignement dans la cyberdéfense

Les réflexions consacrées au cyberespace sont en plein essor sur AGS, à travers plusieurs billets qui ont permis de défricher des concepts tels que le milieu cyber, la cyber-sécurité, la cyber-défense ou encore la cyberdissuasion. Si le cyberespace intéresse avant tout les spécialistes de la SSI, il présente également plusieurs enjeux pour les services de renseignement, qui doivent trouver leur place dans le cadre d’une cyberdéfense qui se dessine.



Entre missions anciennes et nouvelles missions

Le monde du renseignement s’est introduit précocement dans le cyberespace afin de poursuivre ses missions traditionnelles de collecte d’informations, centrées sur les humains et leurs interactions. L’exploitation des transmissions comme sources de renseignement est pratiquée de longue date par les services, des conversations orales aux correspondances papier, des écoutes téléphoniques aux interceptions de signaux. Le cyberespace est devenu un nouveau milieu pour la captation d’informations et l’exploitation de renseignements dits « d’origine technique », mais également un vecteur pour la conduite d’opérations diverses : brouillage, falsification ou destruction de données, opérations psychologiques, déstabilisation…



Le développement des réseaux informatiques et en particulier d’Internet, ont poussé les services de renseignement à mener des investissements technologiques conséquents et à s’impliquer dans des missions qui relèvent à la fois de la collecte d’informations et de la sécurisation des systèmes d’informations. Les services de renseignement ont du tout à la fois renforcer la protection de leurs matériels informatiques et de leurs réseaux, développer et renouveler des techniques innovantes d’interception des données et concevoir des techniques de surveillance des réseaux, tant dans un but de veille informationnelle que pour contrôler les activités de leurs adversaires. L’adaptation des services à ces prérogatives nouvelles s’est souvent faite à la limite de leurs statuts officiels, précédant ou concurrençant d’autres structures d’État dédiées à la SSI. Concernant les efforts technologiques initiaux menés par les services de renseignement sur Internet, on peut notamment citer la collecte massive et systématique de l’intégralité des données échangées sur Usenet dans les années 90, ou la mise en œuvre de faux serveurs proxy visant à analyser le trafic web d’administrations étrangères.

Dans le cadre d’une initiative de cyberdéfense, les problématiques d’attribution et de riposte sont critiques, comme l’ont souligné plusieurs intervenants au cours du récent colloque « Cyberstratégie: un nouveau domaine de la pensée stratégique ». Les services de renseignement ont un rôle important à jouer dans ce cadre, certains d’entre eux disposant de personnels particulièrement chevronnés et d’infrastructures techniques incontournables afin d’identifier l’origine d’une attaque et de localiser des vulnérabilités, y compris sur des réseaux extra-nationaux. Il est à noter qu’un certain de nombre de matériels et de techniques de collecte et d’analyse, tout comme les cadres légaux qui entourent leurs activités, sont spécifiques aux services de renseignement, ce qui leur procure une véritable valeur ajoutée face à des administrations nationales ou à des compagnies privées chargées de la SSI. Dans un contexte d’expansion des réseaux et dans la perspective d’une augmentation potentielle des attaques sur les réseaux (cyberconflit ?), la capacité de certains services de renseignement à concentrer d’importants moyens matériels les prédispose à mener efficacement un certain nombre de missions de cyberdéfense dont certaines sont des transpositions de leurs missions traditionnelles au milieu cyber : « cyber-reconnaissance », « cyber-contre-espionnage » ou encore « intelligence preparation of the cyber-battlefield ». Certaines agences de renseignement ayant aligné des moyens opérationnels considérables sur le champ de bataille cybernétique, on peut également s’interroger sur la pertinence de leur confier d’autres maillons de la chaîne, à savoir des prérogatives de riposte, voire d’action offensive.

Les services de renseignement trouvent également leur place partout où le cyberespace émerge dans le « monde réel ». La frontière entre monde réel et monde vrituel tend à devenir moins tangible de part l’omniprésence des moyens de communications modernes et des modes de connexion aux réseaux, un facteur qui rend d’ailleurs plus floue – et peut-être à terme obsolète – la distinction entre le renseignement « d’origine humaine » et « d’origine technique ». Toutefois, force est de constater que la surveillance technique des menaces cybernétiques trouve ses limites lorsque les acteurs humains ne sont plus « connectés ». Les missions de renseignement liés à la surveillance du cyberspace ont également une dimension physique, « réelle » et humaine, où seuls les services de renseignement et de sécurité sont disposés à opérer. La capacité d’un service de renseignement à agir à la croisée du virtuel et du réel, en ligne comme hors-connexion, lui procure un avantage, en particulier face à un adversaire low-tech sachant tirer partie de tactiques rustiques pour faire avancer son opération par des phases successives online et offline.

La distinction ou la fusion du cyberespace et du spectre électromagnétique constitue également un enjeu pour les services et les unités chargés du renseignement, question qui a été abordée lors du colloque Cyberstratégie et sur le blog EGEA. Cette question englobe la distinction entre les attaques logiques et les attaques électromagnétiques dans le milieu cyber, des enjeux de protection et de durcissement des matériels, ainsi que des interrogations d’ordre organisationnel dans la répartition des prérogatives de cyberdéfense. Les questions de cybersécurité sont parfois réduites aux notions de réseaux informatiques, de logiciels malveillants, de hacking et de criminalité en ligne, laissant de côté le spectre électromagnétique au sens large, qui recèle d’autres modes d’interception, d’attaques et d’autres vulnérabilités. Plusieurs éléments peuvent laisser penser que la fusion a en fait déjà eu lieu. Premièrement, le cyberespace tire de plus en plus partie du spectre EM dans son infrastructure (ondes radio, ondes laser, etc.), bénéficiant de ses atouts techniques mais se soumettant également à ses contraintes et à ses vulnérabilités, avec une conscience plus ou moins grande de celles-ci. Sur le plan de l’organisation de la surveillance des réseaux et du renseignement, les unités de transmissions, historiquement en charge de l’interception et du brouillage des communications radio, mènent de plus en plus d’opérations sur les réseaux de télécommunications, en particulier internet, ainsi que des missions de guerre électronique, menant ainsi une fusion indirecte. Enfin, certaines attaques laissent à penser que des attaques hybrides, mêlant attaque logique, attaque électromagnétique, voire attaque physique (kinetic) et menées quasi-simultanément sont déjà au point, dans une forme de « fusion ». Les attaques sur les systèmes de défense aérienne basées sur des programmes de type Suter sont un exemple de cette fusion et l’opération israélienne menée en Syrie en septembre 2007 (Operation Orchard) semble constituer une attaque hybride.

Le modèle NSA et la France

La National Security Agency (NSA) américaine possède des caractéristiques de concentration de moyens et de prérogatives opérationnelles qui la rendent unique en matière de cyberdéfense. Cette agence de renseignement est avant tout un acteur historique du cyberespace, s’y investissant dès ses prémices et forgeant en partie son architecture, à travers des investissements technologiques de premier ordre et des dispositifs légaux qu’elle a initié. De part sa présence historique dans le cyberespace avec des moyens techniques et financiers considérables, la NSA est probablement une des organisations qui possèdent la vision la plus complète du cyberespace contemporain. L’agence dispose tout à la fois de moyens techniques colossaux (fermes de serveurs, supercalculateurs, systèmes d’interception de pointe, satellites d’interception) et tentaculaires (black rooms chez les FAI, accords internationaux, stations off-shore, réseau ECHELON), d’une expertise technique dans toutes les technologies du cyberespace, d’un service de cryptologie de premier rang et de nombreux transmetteurs et analystes.

De part ses atouts d’ordre technique, ainsi que part un lobbying politique non-négligeable, la NSA a réussi à s’imposer comme l’agence incontournable dans la communauté du renseignement américain, mais aussi pour les alliés de l’Amérique. Avec d’importants crédits, la NSA a pu mener des investissements technologiques et s’accroître par l’ouverture de plusieurs centres supplémentaires, en particulier un gigantesque data center dans l’Utah qui vient appuyer les opérations de Fort Meade. Grâce à cette force de frappe technologique, la NSA a réussi à rafler toutes les grandes missions liées à la cyberdéfense et à la cybersécurité fédérale aux Etats-Unis: protection des données et fourniture des codes de cryptage pour l’administration fédérale, surveillance et protection de toutes les communications en provenance ou à destination de ces administrations (programme Einstein 3), monopole sur l’interception de communications aux USA, voire hors de ses frontières. Malgré les efforts des forces armées et en particulier de l’US Air Force, la NSA est devenue la colonne vertébrale de l’US Cyber Command qui a en charge les missions de cyberdéfense et commandé par le général Keith B. Alexander… directeur de la NSA.

Force est de constater que la France ne possède pas de NSA, ni d’agence qui concentre à ce point des moyens de collecte et d’analyse du renseignement d’origine technique, de SSI et de guerre électronique. L’ANSSI constitue le cœur du dispositif de cybersécurité français et assure la « défense des systèmes d’information » par « un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État ». Toutefois, elle ne dispose pas à proprement parler de moyens de cyber-reconnaissance ou de renseignement. La DCRI dispose d’un rôle en matière de lutte contre la cybercriminalité, au même titre que la police nationale et que la gendarmerie. La DGSE et la DRM mènent des missions liées au cyberespace, en particulier grâce aux régiments de transmissions qui leurs sont rattachés.

L’exemple de la NSA est tout à fait atypique de par la concentration de moyens techniques, financiers et de part l’héritage historique qu’il recèle, il ne saurait donc être transposé à la France. Il permet toutefois de disposer d’un point de comparaison en matière d’organisation d’une cyberdéfense. La NSA est une agence de renseignement qui regroupe en une seule structure de nombreuses composantes de cyberdéfense et intervient comme un acteur naturel dans le cyberespace, avec un haut niveau d’intégration et de collaboration entre ses services, ce qui favorise un fonctionnement en boucle courte et permet le développement de nouvelles missions telles que la cyber-reconnaissance. De son côté, la France doit s’interroger sur la façon de tirer le meilleur parti de ses moyens techniques et humains, répartis notamment au sein de l’ANSSI, de la DIRISI ou de la DGSIC, mais également dans ses services de renseignement et ses unités de transmissions, qui disposent d’une véritable expertise à mettre au service d’une cyberdéfense toujours en gestation.

Première publication de cette chronique sur AGS (alliancegeostrategique.org) le 29 décembre 2011.


Aucun commentaire:

Enregistrer un commentaire