Panetta, attaques de banque, inattribution : sur le cyberfront

1/ Régulièrement, depuis cinq ans, les États-Unis nous ont habitué à ces déclarations sur la cyberguerre qui serait en train de se jouer. La vraie question est donc : pourquoi ce déploiement médiatique cette semaine ?

2/ Constatons d'abord que les banques américaines ont été la cible d'attaques assez ciblées, autour du virus Itsokonoproblembro, en provenance du Moyen-orient (et déjà signalé par egeablog). Fichtre ! à la différence de Stuxnet, où les Américains avaient triomphé grâce à leur capacité de retarder pendant deux ans le programme nucléaire iranien, voici donc que des Moyen-orientaux seraient en mesure de porter, eux aussi, des coups à la grande puissance. Refichtre, cela ne faisait pas partie du scénario.

3/ D'où les déclarations envers le développement de postures offensives, incluant d'ailleurs la notion de "règles d'engagement" préalables, chose qui demeure très discutable (en général, et plus encore ans le cas du cyberespace, nous y reviendrons).

4/ Remarquons toutefois que ces déclarations interviennent dans un contexte budgétaire très contraint, avec notamment la possibilité que les politiques ne réussissent pas à se mettre d'accord pour prolonger un niveau de recettes et de dépenses, et que le budget américain tombe sous le coup de la "séquestration" : réduction générale de 10 % de toutes les dépenses publiques, y compris celle du Pentagone. Re-re-Fichtre. Voici qui nécessite un peu d'efforts pour inciter les responsables politiques à être responsables, justement, et à dépenser judicieusement en matière de cyber. C'est-à-dire au moins autant, grande cause nationale.

5/ Cela s'accompagne de déclarations appuyées sur la capacité qu'auraient les Américains de lever l'inattribution des attaques : or, celle-ci constitue le principe stratégique fondamentale du cyber, et explique justement, par l'opacité provoquée, toutes les actions offensives. Les spécialistes doutent que des moyens simplement techniques puissent déterminer les origines des attaques. Il est possible qu'en les doublant avec des moyens classiques de renseignement, on arrive à construire des imputations raisonnables : mais en aucun cas ne voit-on un procédé technique qui permettrait de lever le voile.

6/ Comment dès lors interpréter cette déclaration de succès ? Tout simplement comme une rhétorique de dissuasion. En effet, la notion de cyberdissuasion pâtit d'un inconvénient majeur : il n'y a pas d'arme universelle, qui marche à tout coup et de façon visible, à la différence de l'arme nucléaire. Dès lors, dire qu'on a levé l'obstacle de l'inattribution est une façon de prétendre à l'universalité de la rétorsion.

7/ Mais aujourd’hui, la chose n'est pas prouvée, car elle n'est pas visible. Du coup, la déclaration de L. Panetta ressemble pour partie à la stratégie nucléaire, dans sa partie rhétorique. La dissuasion est d'abord un discours, un dialogue avec l'autre. En affirmant que les États-Unis disposent désormais des capacités d'attribuer, donc de riposter à tout attaque, L. Panetta mime la rhétorique nucléaire et entre, du moins l'espère-t-il, dans la même dynamique.

Est-ce convaincant ? Le simple fait de démonter ce mécanisme et d'introduire une part de bluff non pas sur l'intention d'agir (comme en stratégie nucléaire) mais sur la capacité à agir affaiblit sérieusement la crédibilité du discours. Au risque d'être contre productif.

Attaques des banques américaines, références (en français, beaucoup plus de chose en américain) :

• sur Shamoon, attaque iranienne contre l'opérateur saoudien de pétrole Aramco, qui serait le prélude aux suivants ... (août 2012)
• sur itsoknoproblembro (octobre 2012)
• sur Gozi Prinimalka (signalé par Yannick) (novembre 2012 ?)

O. Kempf