Nettement plus graves qu’Heartbleed… et pourtant tellement possibles : voilà à quoi pourraient ressembler les scénarios d’une webpocalypse

Atlantico : La faille Heartbleed survient peu de temps après la faille "man-in-the-middle" qui avait frappé les utilisateurs Apple. Ces bugs qui se multiplient rappellent la possibilité d'une "panne générale" qui plongerait le monde dans le chaos. A quels scénarios noirs une faille de sécurité majeure pourrait-elle mener ?

François-Bernard Huyghe : L'attente du grand accident, de la grande attaque ou de l'explosion de la «bombe informatique » dont parle le philosophe Paul Virilio date au moins des années 90. Aux États-Unis des experts prophétisent un Pearl Harbour informatique, un 11 septembre numérique ou un Cybergeddon (Cyber plus Aramageddon = l'apocalypse cyber). Cette vision terrifiante repose sur des notions simples

- nous dépendons de plus en plus de nos prothèses numériques pour communiquer, mémoriser, contrôler, gérer, faire des transactions...

- des millions de gens utilisent les mêmes logiciels ou les mêmes plates-formes, donc une seule vulnérabilité sur d'innombrables lignes de code fragilise des appareils à dans le monde entier

- sur les réseaux tout communique  avec tout

Donc un virus nocif peut perturber par contagion de multiples  machines et empêcher de fonctionner les systèmes d'information dont dépendent les fonctions indispensables : réguler le trafic, payer, distribuer l'énergie...

Mais jusqu'à présent de telles agressions contre les infrastructures dites critiques, vitales ou de souveraineté n'ont été constatées que contre des cibles très spécialisées (les chaînes d'enrichissement de l'uranium d'une seule centrale en Iran) ou limitées (la régulation d'un tunnel routier).

Quelles réactions en chaîne pourraient en découler avec quelles conséquences concrètes sur les citoyens ?

Nous sommes tellement habitués à nous reposer sur des systèmes informatisés dans la vie quotidienne ou à confier nos données précieuses à des machines lointaines que nous sommes fragilisés. Une dysfonction ou un simple retard de réaction perturbant la circulation, les paiements, l'énergie ou autres pourraient provoquer une panique qui aggraverait l'effet de chaos. Mais pour le moment, c'est de la science-fiction, du moins à grande échelle.

Se prémunit-on contre ces scénarios ? Les Etats y sont-ils préparés ?

Il y a des années que les États, au moins les plus développés, dont à la France avec des services comme l'ANSSI (L'Agence nationale de la sécurité des systèmes d'information) se dotent de services de cyberdéfense ou cybersécurité. Ils sont chargés de détecter les dangers le plus et amont possible, de diffuser les solutions informatiques et de renforcer la résilience de nos systèmes, c'est-à-dire leur capacité de fonctionner même si certaines de leurs composantes sont atteintes et de revenir le plus vite possible à la normale.

Quand on cherche à prévenir une faille de sécurité majeure, qui est l'ennemi ? Est-il extérieur, intérieur ? La faille peut-elle être le fruit d'un accident ? Quelles réactions appellent des différentes configurations  ?

On peut imaginer un sabotage informatique sophistiqué destiné notamment à exercer une pression politique, à accompagner des actions militaires classiques, voire à « punir » symboliquement des États ou des entreprises. Cela peut se faire par contagion via Internet (éventuellement en jouant sur la naïveté d'un employé qui télécharge n'importe quoi sur un ordinateur connecté) mais aussi par des complicités humaines. La bonne réponse consiste certes à dresser des défenses techniques pour rendre ses systèmes d'information impénétrables ou à produire immédiatement les contre-virus... Mais la réponse repose aussi sur du renseignement et une compréhension stratégique des objectifs que poursuivent les agresseurs, sur leur logique de fonctionnement, leurs propres vulnérabilités, etc. D'autant plus que la plupart des attaques informatiques sont anonymes et difficiles à attribuer (même en raisonnant par hypothèse : ce doit être tel État qui en a les capacités, qui y a un intérêt...). Bref l'action sur et contre le cerveau humain et pas seulement le cerveau électronique est prioritaire. Et il ne faut pas penser en termes de dangers ou de possibilités de nuire par ordinateurs interposés, mais en fonction de la poursuite de certains intérêts par des moyens violents, notamment informatiques.

L'affaire Snowden montre qu'un seul homme est capable de mettre en danger les données de tout un Etat. Le facteur humain n'est-il pas le premier danger, quand on parle d'internet ?

Snowden à agi par scrupule moral et pour avertir des citoyens de la surveillance dont ils faisaient l'objet, pas pour nuire à son pays. Cela dit, si dans une bureaucratie comme la NSA sensée être l'endroit le plus sécurisé du monde, il se trouve un employé sur des milliers pour rassembler, enregistrer, faire sortir et diffuser des documents expliquant toute la logique du système, on peut imaginer l'avantage que tirerait un commanditaire qui infiltrerait ses agents aux endroits sensibles d'une organisation. Pour commander toutes ces machines, ils faut des êtres humains qui peuvent faire des choses aussi bêtes que laisser traîner un mot de passe ou cliquer sur un lien suspects. Le maillon faible est, comme le dit un de mes amis, entre l'écran et la chaise.

Internet est-il en train de se substituer aux champs de batailles d'autrefois ? On pense notamment aux cas dans lesquels la cyber-apocalypse résulte du sabotage volontaire des données informatiques d'un autre Etat...

Sauf à imaginer une sorte de secte apocalyptique recherchant le chaos pour le chaos, encore faudrait-il que le concepteur diabolique supposé d'une telle opération soit certain

a) qu'il touche bien la cible qu'il veut et que le désordre (provoqué par le logiciel malicieux par exemple) ne se répand  pas chez les neutres, voire chez des alliés ou dans le pays agresseur

b) qu'une fois estompé l'effet perturbateur (car tout se répare tôt ou tard) le message politique que transmettait l'attaque technologique soit bien interprété et efficace : une menace, une revendication, un avertissement...,

c) qu'une éventuelle riposte par des armes informatiques offensives que posséderait la victime ne rendrait pas l'opération contre-productive.

Il se pourrait donc qu'il y ait de plus en plus d'attaques informatiques, généralement anonymes, beaucoup à titre d'accompagnement d'autres offensives militaires plus « classiques », économiques ou politiques. Mais de là à remplacer la guerre, au sens d'une violence qui contraint un acteur souverain à céder et à accepter la paix que réclame le vainqueur, il y a un très grand pas que personne n'a encore franchi.