Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Défense
Un soldat de la Légion étrangère avec un missile d'infanterie léger antichar NATO (Milan), le 14 juillet 2012.
©MEHDI FEDOUACH / AFP

Danger

La probabilité de cyber attaques sur nos armements est élevée : sommes-nous suffisamment préparés ?

L’électronique équipe de plus en plus nos dispositifs militaires, qui deviennent la proie de virus informatiques et de puces espionnes aux effets aussi dévastateurs que les armes traditionnelles. Comment les armées se mettent en ordre de bataille face aux risques « cyber », et tentent de contrecarrer ces périls d’un nouveau genre ?

Franck DeCloquement

Franck DeCloquement

Membre fondateur du Cercle K2 et ancien de l’école de Guerre Économique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations internationales et stratégiques) en "Géoéconomie et intelligence stratégique". Il enseigne également la "Géopolitique des médias" en Master 2 recherche "Médias et Mondialisation", à l'IFP (Institut français de presse) de l'université de Paris II Panthéon-Assas. Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d'espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS - l'association d’experts helvétiques dédiée à la sécurité de l'information - autour des réalités des actions de contre-ingérence économiques et des menaces dans la sphère digitale.

Voir la bio »

Atlantico : En 2020, plus de 90% des organisations françaises ont été ciblées, au moins une fois, par une cyberattaque d’ampleur. Chargée en outre des conditions de notre sécurité sur le plan national, l’armée française parvient-elle à garantir la sienne au niveau de ses infrastructures informatiques ? L’année 2020 a-t-elle été pour elle aussi, le théâtre d’attaques accrues ?

Franck DeCloquement : Nous entendons tous parler dans les médias d’informations généralistes de « cyberattaques », de « cyber-opérations » ou « d’infections numériques » par le biais de logiciels malveillants, qui ciblent le plus souvent les systèmes informatiques de nos entreprises, les systèmes de paiements de nos commerces en ligne, nos ordinateurs personnels ou plus fréquemment nos propres smartphones. A l’image des attaques menées contre les infrastructures civiles telles que les hôpitaux, les systèmes d'assainissement de l'eau ou encore celui du secteur de l'énergie. Mais il existe également un autre type de systèmes critiques, à enjeux majeurs ou prioritaires qui retiennent beaucoup moins l'attention du grand public et des médias généralistes, en raison de la protection du secret qui s’y rattache naturellement : les attaques cybernétiques sur nos systèmes d'armements.

En la matière, l’équation actuelle demeure assez simple : plus de code = plus de cyber-vulnérabilité ! Dans cette affaire, il s’agit notamment de missiles guidés, de systèmes antimissiles, de chars et d’avions de combat (liste non limitative), tous hautement informatisés et fonctionnant le plus souvent étroitement en réseau. On peut naturellement imaginer que ces systèmes d'armes contiennent des vulnérabilités de sécurité similaire à la plupart des autres systèmes d'information, y compris les failles les plus indétectables de prime abord. Les informations qui filtrent généralement sur la découverte de ces cyber-vulnérabilités à caractère critique sont rarement divulguées au grand public. Cela semble tout à fait logique au demeurant, car la sphère des opérations militaires est imprégnée par la culture du silence et de la discrétion à des fins de protection du secret de la défense. Comme l’avait d’ailleurs indiqué fort justement et à titre d’illustration Isabelle Valentini, lors d’une interview, alors adjointe en poste au ComCyber : « Aujourd’hui, les avions sont des ordinateurs volants et il serait stupide et incompétent de prétendre qu’une faille est impossible. » De fait, la menace qui pèse aujourd’hui sur nos dispositifs est bien réelle et non plus seulement fictionnelle.

D’autant plus quand le Rafale, fleuron de l’Armée de l’air française, a déjà été victime d’un incident cyber durant l’année 2009 : des Rafale, ainsi que des ordinateurs de la base aérienne 107 de Villacoublay, se sont ainsi retrouvés paralysés par un « ver informatique » d’origine inconnue, depuis surnommé « Conficker ». Celui-ci s’était alors introduit puis propagé depuis l’un des postes de travail fonctionnant sous Windows, mais insuffisamment mis à jour… L’un des cauchemars pour les états-majors, à l’heure où la guerre se mène désormais sur un nouveau front dématérialisé, celui du cyberespace, un théâtre d’opération où les batteries de missiles font place à des bataillons de virus informatiques, une pléthore de chevaux de Troie (Trojan) et autres « vers » numériques particulièrement insidieux et agressifs. Dans ce nouvel univers de référence, les atteintes ennemies prennent désormais la forme de pannes informatiques soudaines destinées par exemple à paralyser les aéronefs au sol, mais aussi leur environnement technique, tout en bloquant ou en infectant par la même occasion les systèmes de commandes digitales qui les font habituellement fonctionner. Bien réelle, la cyberguerre est d’ores et déjà déclarée, et cela même si elle n’est pas encore véritablement palpable pour les citoyens lambda que nous sommes… Et l’affaire est d’autant plus complexe que se multiplient concomitamment une nouvelle gamme d’acteurs intermédiaires  et malveillants, le plus souvent impliqués dans ce type d’action intrusive délétère sur nos systèmes de défense. Car certains États belligérants ou vindicatifs peuvent ainsi déléguer leurs basses œuvres stratégiques de sabotages, à des pirates isolés, ou à des groupes criminelles affiliés ou dûment sponsorisés. Puisque dès lors que cela serait rendu public, une cyber-agression assumée ou revendiquée, reviendrait en somme à révéler son jeu de sape à l’adversaire, et à abattre ses cartes aux yeux de l’Etat ainsi visé. Conclusion : très peu de cas investigués sont donc accessibles au commun des mortels, ou véritablement rendus publics quant à l’attribution réelle de ces attaques adverses en sous-main. Diplomatie oblige…

À Lire Aussi

Le Pentagone agite la menace de la Chine pour réclamer d'énormes hausses de son budget : excuse facile ou anticipation fondée ?

Les armements comme les tanks ou les missiles étant tous des systèmes militaires hautement informatisés, sont-ils des cibles de choix pour les cyberpirates ? Quelles conséquences funestes pourrait-on imaginer, concernant l’intrusion d’un tiers dans l’un de ces systèmes d’armements très sophistiqués ?

L’augure d’un agresseur motivé, ou d’intelligences malveillantes ennemies pilotées, et prenant le contrôle subreptice d'armes militaires pouvant causer des destructions cinétiques lourdes, peut souvent ressembler par certains aspects à des narrations de politique-fiction relativement surfaites… Mais aujourd'hui, les systèmes d'armes informatisés contrôlent les piliers de la défense de nombreuses nations dans le monde. Et bien que les informations sur ces systèmes d’armes soient très secrètes, il y a une chose que nous savons de manière certaine : si l'accès à ces systèmes n'est pas rendu aisé, ils contiennent cependant – et presque certainement – des vulnérabilités critiques notables. L’expérience nous indique qu'il n'y a aucune raison de l’envisager autrement. Et une telle possibilité constitue un risque potentiel notable pour la sécurité nationale de nos pays, ou la stabilité du monde de matière générale. Les conséquences de telles opérations de piratage, si elles étaient réellement menées à bien, pourraient être parfaitement désastreuses. Le contrôle de ces systèmes d'armes complexes est une prérogative intégrale de nos États, et toutes interférences externes avec eux pourraient être interprétées comme une ingérence dans les affaires internes d’un pays, pouvant conduire à de lourdes représailles. Aucun pays ne peut permettre à ses adversaires de « jeter un simple coup d'œil » sur ces questions restreintes au seul contrôle par l'État, telles que la surveillance de l'armée. Fort heureusement, y parvenir avec succès est très loin d'être une chose qui va de soi. Conduire des cyberattaques victorieuses et pointues de ce type exigerait non seulement des intentions adverses ouvertement hostiles, mais aussi l'existence de vulnérabilités de sécurité majeure dans les systèmes de contrôle de ces armements hautement technologiques. Afin d'exploiter de tels bogues systèmes, l'attaquant aurait également besoin d'accéder directement à ces matériels dans de nombreux cas de figures. Ce qui n'est pas évidemment chose facile à obtenir. Mais ces obstacles ne sont cependant pas impénétrables. Afin de s'assurer que l’occurrence de telles menaces ne puisse aboutir, toutes les vulnérabilités potentielles doivent être circonscrites, contrôlés et endiguées. Les militaires et les gouvernements du monde entier créer ainsi des processus de gestion stricte pour mettre au jour ces vulnérabilités, à travers la conduite de processus qui encourage à les dénicher à temps, et visent à établir un système d’actions rapides pour les corriger immédiatement. Aussi, et très schématiquement, les pays alliés travaillent conjointement sur l'opportunité commune d’empêcher conjointement l’exploitation de ces faiblesses inhérentes aux infrastructures gérées par l’informatique. Celles-ci sont donc toutes très étroitement surveillées, et leur accès n’est possible qu’à partir de réseaux internes aux process particulièrement sécurisés, que des acteurs malveillants externes ne pourraient pas pénétrer indûment sans immédiatement donner l’alerte.

Pour éviter le risque de falsification, ces systèmes extrêmement sensibles doivent impérativement rester hors d’atteinte de l’ennemi, dans des réseaux parfaitement isolés de l'accès public. Mais il n’en demeure pas moins toujours très difficile de maintenir un accès suffisamment fiable à ces systèmes capables d’exécuter des plans d'attaque. Ce point particulier est d’ailleurs mis en évidence dans un rapport de l'École Spéciale Militaire de Saint-Cyr, l'école militaire spéciale de l'armée française, qui détaille par le menu la vision de la cyber-résilience des systèmes d'armes. Le rapport note en outre que « les structures des systèmes d'armes sont conçues pour avoir très peu de points d'accès ou d'ouvertures pour les cyberattaquants... non seulement en raison de leur interconnexion limitée, mais aussi parce qu'elles utilisent des technologies dites atypiques ». Même ainsi, les risques de compromission de la chaîne d'approvisionnement demeurent. De tels risques ne sont donc pas « imaginables » en l’état. Lorsque des éléments malveillants ou frauduleux sont insérés dans un système informatique, cela peut avoir un impact notable sur son bon fonctionnement général, ou son intégrité.

Outre-Atlantique, des soupçons selon lesquelles de telles compromissions ont déjà eu lieu apparaissent d’ailleurs dans un récent rapport de « l’US Defence Science Board ». Dans ce document très documenté, le groupe de travail mentionne à ce titre « des cas qui auraient pu être des attaques infructueuses contre des systèmes d'armes critiques, via une insertion malveillante ». Bien qu'elle ne soit que très rarement confirmée par des commandements militaires, la capacité des acteurs malveillants externes à altérer les systèmes interdits d’accès demeure inquiétante. Et cela, surtout quand on imagine les conséquences funestes en lien avec la perte de contrôle sur des systèmes d'armes puissantes, et en capacité de diriger les frappes militaires. Comme tous nos écosystèmes de vie, les systèmes d'armes sont de plus en plus informatisés. Et cela inclura sans aucun doute – et fort logiquement – des systèmes spatiaux, ou même des systèmes d’armes nucléaires de nouvelle génération. Afin de les protéger, les décideurs politiques et les décideurs militaires ont arbitré sur des recommandations substantielles pour mettre en place des cadres d'évaluation afin d’identifier et gérer les risques de cybersécurité face à une informatisation en expansion, et une interconnexion croissante intégrée dans les systèmes d'armes. En outre, un rapport récent de la « US Cyberspace Solarium Commission » conseille à ce titre de concevoir un processus spécial d'évaluation de la cybersécurité des systèmes d'armes. Très schématiquement, la préparation de ces processus d'évaluation nécessitera d'allouer des fonds substantiels uniquement à la défense technique. Si les correctifs de ces systèmes existants peuvent ne pas donner lieu à des sujets en vogue dans l’actualité accessible au grand public, ceux-ci apportent toutefois des résultats défensifs extrêmement tangibles pour notre sécurité collective. Car l'exploitation incontrôlée des vulnérabilités existantes, ou la compromission de nos systèmes d'armement via l’outil informatique pourrait entraîner des risques forts élevés, pour les femmes et les hommes qui utilisent quotidiennement ces machines pour accomplir leurs tâches, pour nos armées qui les contrôlent, et pour les populations civiles que nous sommes. D’autant qu’il apparait de manière patente que les armées du monde entier s'efforcent naturellement d'atteindre cette capacité notable de pirater les systèmes d'armes adverses, et de manière subreptice, au risque naturellement de déclencher un conflit armé entre belligérants en cas d’attributions certaines ou erronées.

À Lire Aussi

La guerre pour l’eau, enjeu du monde de demain

Aux Etats-Unis, la « Cyberspace Solarium Commission » a rendu récemment un rapport sur la nécessité de créer un processus spécial d'évaluation de la cybersécurité des systèmes d'armes. En France, s’est-on suffisamment préparé à ce type de menace ? Avons-nous des failles importantes qu’il faudrait pouvoir combler dès maintenant ?

Ce type de rapports représente nous confirme l’existence de soupçons réels et notables de la hiérarchie militaire, concernant certains systèmes d'armes jugés potentiellement vulnérables aux visées belliqueuses de l’ennemi. Par exemple, le rapport 2018 du « US Government Accountability Office » comme le rapporte un article récent de Wired, comprend une remarque sur l'identification de routine des « cyber-vulnérabilités critiques, pour la mission que les adversaires pourraient compromettre ». Y compris sur la capacité de prendre le contrôle total des systèmes testés, dans certains cas... Le rapport poursuit en expliquant que ces vulnérabilités constituent des menaces uniques pour les grands systèmes interdépendants, parce que la mise à jour ou le remplacement d'une seule pièce de ce type de dispositifs est loin d'être aisé. Selon ce rapport, « un correctif ou une amélioration logicielle qui cause des problèmes dans un système de courrier électronique est peu pratique, alors qu’un correctif qui affecte un avion ou un système de missile pourrait être lui parfaitement catastrophique ».

Aussi, cela en dit long en l’occurrence sur les réelles inquiétudes que nourrissent les militaires américains. Fort heureusement, la prise de conscience de ce type de problème n’est pas récente : dans un briefing déclassifié de 2021, le département américain de la Défense (DOD) a révélé que des risques de cybersécurité avaient notoirement été identifiés par l’institution dans plusieurs systèmes militaires distincts. Et cela, y compris dans un dispositif d'alerte de missile, un système radio tactique, dans un missile guidé monté sur le bombardier B-2 Spirit. Bien que les détails exacts des problèmes de cybersécurité identifiés – et depuis résolus – demeurent naturellement confidentiels, nous pouvons raisonnablement conclure que les systèmes d'armes incriminés ne sont sans doute pas les seuls atteints, et que bien d'autres comportent vraisemblablement de notables faiblesses ou failles en la matière.

Il en va ainsi de la vie des matériels gérés ou asservis par l’informatique… Au passage, Wired nous rapporte que les résultats – pourtant classifiés – concernant l'audit d'un bombardier B-2 Spirit âgé de 16 ans, mais capable de transporter des munitions nucléaires, soulèvent des préoccupations similaires. Les détails techniques exacts du rapport ne sont bien entendus pas accessibles à la connaissance du grand public, mais ce que nous pouvons en revanche distinguer nous permet raisonnablement de conclure que de graves vulnérabilités de cybersécurité existent bel et bien dans ces systèmes d'armes, y compris celles qui permettraient à un adversaire potentiel de prendre le contrôle d'un dispositif hyper-technologique de ce type. Et ceci est probablement dû au fait que la maintenance de ces anciens matériels hérités représente toujours un défi de cybersécurité majeur pour les spécialistes. Qu'il s'agisse d’ailleurs de systèmes obsolètes utilisés dans les hôpitaux de nombreux pays, ou encore de systèmes d'armes sophistiqués utilisés par les armées du monde entier.

À Lire Aussi

Mozambique : massacres au nord du pays sur fond d’insurrection djihadiste

Fort heureusement, lors de leurs mises à jour, certains problèmes sont détectés en amont et immédiatement corrigés via des patches opportuns de sécurité. Mais les cyber-risques dans les systèmes d'armements demeurent. Aux Etats-Unis comme en Europe. Affaire à suivre donc.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !