La forte expansion des nouvelles technologies de l’information et de la communication renvoie à la contradiction entre, d’une part, la diffusion de la connaissance, des cultures et du savoir économique et scientifique dans le cadre d’un forum unique d’échanges transfrontaliers et transnationaux, et, d’autre part, la multiplication des risques et des menaces. Cette réalité participe de tous les aspects de la vie d’un pays moderne dans ses infrastructures critiques : la vie des entreprises et les actions des administrations et du citoyen-internaute. Face aux agressions informatiques, les agences de sécurité nationale ont deux responsabilités majeures à assumer : garantir la sécurité des systèmes d’information de l’État, tout en permettant le bon fonctionnement de l’administration et la protection des infrastructures critiques, et établir un environnement sécurisé favorisant l’instauration et la promotion de la confiance dans la société d’information.

Le cyberespace offre un cadre privilégié aux individus et aux groupes organisés animés d’intentions criminelles, échappant à toute contingence de lieu et de temporalité. L’articulation entre trois pôles interactifs – le cyberespace, la cybersécurité et le cyberterrorisme – constitue un nouveau défi pour les États, qui doivent faire face aux insaisissables mouvances échappant à leur contrôle.

La menace est l’expression d’une intention virtuelle, ou de l’actualisation de cette intention, marquée par une volonté hostile. Quel que soit le moyen utilisé, ce que nous appellerons ici l’élément « menaçant » cherche soit à intimider, soit à mettre en danger, soit à produire un dommage sur l’objet visé. L’analyse de la notion de menace dans le domaine de la cybersécurité recouvre plusieurs dimensions. Ainsi, une menace en matière de sécurité des systèmes d’information est appréhendée comme un risque de violation accidentelle ou délibérée de la politique de sécurité d’un État ou d’une entreprise. Il existe plusieurs registres et graduations d’une attaque : il peut s’agir de la destruction, de la modification ou de la divulgation d’informations confidentielles, ce qui, dans le cadre des réseaux gouvernementaux, relève d’une atteinte à la sécurité nationale. Qui est l’agent de la menace ? Un État dit « terroriste », un groupe terroriste, une mafia, ou bien encore un hacker isolé, et parfois même les services de renseignement d’un État ami et allié, constituent des entités dont les motivations sont radicalement distinctes mais dont les objectifs sont proches, à savoir : fragiliser et affecter durablement les systèmes de communication d’un État ou d’une entreprise. L’une des caractéristiques de la menace sur les réseaux est son caractère quasi immatériel, désincarné et déterritorialisé.

Une agression informatique émanant d’un groupe terroriste n’a pas nécessairement de signature géographique et peut, en outre, être fallacieuse, émanant par exemple d’une adresse en Allemagne mais basée en réalité au Pakistan. Un pays peut attaquer le réseau d’un autre État à partir d’outils localisés dans un troisième pays. Aussi, il convient de prendre en compte plusieurs facteurs participant à cette déterritorialisation, tels que l’identification de la source, le mobile de l’acte criminel, la cible – qui pourrait comporter en elle-même un message politique – et le résultat escompté – affaiblir, déstabiliser ou perturber « l’adversaire ». Les services de police spécialisés sur le plan national comme international, tels que l’Europol, procèdent à des enquêtes spécifiques, et, parallèlement, des forums tels que le G8 abordent ces questions. En effet, si l’agresseur est par nature difficile à localiser rapidement, plusieurs indices permettent néanmoins d’élaborer une grille de lecture, illustrée par les empreintes qu’il laisse, délibérément ou non : son niveau d’expertise technique, les ressources dont il use, le temps et les risques pris, la motivation de l’auteur, le scénario d’exécution de l’attaque qui peut comprendre des moyens techniques et non techniques, etc. Ces éléments permettent d’établir une sorte de profil du cyberattaquant.

Les services de sécurité apprécient la nature de la menace par l’intention qu’elle sous-tend. Ainsi est considérée comme malveillante toute menace impliquant des individus isolés, des groupes non structurés, des organisations terroristes animées par le même intérêt et, enfin, des États dont les intentions, les mobiles, les capacités techniques, ainsi que les ressources combinées sont susceptibles d’altérer gravement les réseaux et les systèmes d’information. D’autres menaces moins graves résultent davantage d’actions dépourvues d’intention malveillante : les erreurs humaines accidentelles, par exemple, qui portent néanmoins préjudice au bon fonctionnement du système.

Les pouvoirs publics responsables de la sécurité des systèmes d’information ont pour mission de réduire l’impact des risques résultant de la combinaison d’une volonté malveillante – menaces – et d’opportunités – vulnérabilités techniques et non techniques. Selon les experts, la conjonction des deux éléments suivants matérialise la menace : la composante technique, ou capacité d’exploiter des vulnérabilités, et la composante non technique, d’opportunité, à savoir la disposition de l’attaquant à tenter une cyberattaque. Pour qu’il y ait une menace réelle, il faut qu’une vulnérabilité soit exploitable par l’attaquant, qu’elle soit connue de celui-ci et, enfin, que l’attaquant trouve un intérêt à réaliser cette attaque. Cependant, l’approche fondée sur la vulnérabilité est insuffisante car elle ne tient compte que des conditions de faisabilité technique d’une attaque, et moins de l’intérêt et de la finalité que vise l’attaquant. Au-delà de toute considération strictement technique, il faut procéder à une approche plus politique, afin de déterminer les potentialités, les objectifs et les intérêts ainsi que les opportunités, tels qu’ils sont perçus par l’agent menaçant et attaquant.

L’Organisation du traité de l’Atlantique Nord (OTAN) a établi une typologie analytique de ce qu’elle désigne par « agents de la menace », dont la première étape consiste à connaître de manière exhaustive les motivations et les cibles des agents menaçants. Bien que diverses, leurs motivations ne peuvent pas pour autant être enfermées dans des catégories imperméables, telles que le gain d’argent, la quête de la renommée, le chantage, la propagande ou la recherche de renseignements militaires, économiques ou stratégiques, qui transgressent largement l’appartenance à des groupes apparemment antagonistes. Des États terroristes, des mafias, certains groupes terroristes, des entreprises ou bien encore des pirates informatiques peuvent en effet se retrouver sur des terrains communs. Les services de sécurité adoptent alors des modes d’investigation qui doivent prendre en compte la multiplicité et la diversité des motivations d’un agent menaçant. Les méthodes de travail, les compétences et les capacités techniques sont autant d’indices sur l’agent de la menace et son environnement.

Le pirate informatique est en général une personne solitaire, souvent marginale, évoluant à l’intérieur comme à l’extérieur du système, dont l’ambition est de pénétrer un système pour son propre compte. Ses motivations sont souvent l’acquisition de compétences, la fascination du jeu obéissant à des considérations d’ordre intellectuel et le goût du défi, avec ou sans but lucratif. L’évolution récente du phénomène montre qu’un nombre limité de pirates agressifs a laissé la place à un nombre impressionnant d’individus organisés en réseaux. On observe néanmoins que la majorité de ces pirates limitent leur action à l’utilisation de logiciels d’attaque disponibles sous forme d’outils sur Internet – les script-kiddies. Le Federal Bureau of Investigations (FBI) affine davantage la définition du pirate et associe son action au cyberterrorisme et à la criminalité. Ainsi, le backer est un pirate spécialiste de l’intrusion illégale dans les ordinateurs distants, le craker « éclate » les systèmes de sécurité et les codes de protection des programmes et, enfin, le phreacker est spécialisé dans la fraude concernant les télécommunications. À titre d’exemple, en 1995, un groupe de jeunes backers américains aux motivations nationalistes et anti-françaises avaient ainsi projeté de perturber le système de la Régie autonome des transports parisiens (RATP) afin de dérober des informations confidentielles et de les diffuser sur Internet. Ils en auraient été dissuadés par le FBI.

Les criminels et les membres des organisations mafieuses composent un ensemble hétérogène lié à la cybercriminalité mais peuvent également agir en relation étroite avec un État terroriste dont ils alimentent le financement. La pénétration du système est avant tout motivée par l’appât du gain. Les mafias, qui ont à leur disposition des moyens importants, sont prêtes à assumer des risques mesurés, calculés en fonction d’une équation assez simple du rapport risque/avantage. Leurs méthodes d’actions sont multiformes : intrusion dans la base de données confidentielles d’une banque et intervention sur les numéros de comptes ou de cartes bancaires, fabrication de fausses cartes bancaires, déverrouillage des cartes SIM (Subscriber Identity Module) et activation de décodeurs pirates. Conséquence indirecte du succès de ces stratégies criminelles, les incidents dont sont victimes les établissements bancaires sont rarement médiatisés, ces derniers souhaitant conserver la confiance de leurs clients. Entre 1993 et 1997, la ville de Londres et certaines institutions financières ont été attaquées une quarantaine de fois par des cybercriminels qui auraient dérobé 400 millions de livres. Par ailleurs, des sources américaines ont révélé que l’un des organisateurs des attentats du 11 septembre 2001, Mohamed Atta, avait fait transiter des sommes élevées par la Western Union à destination des Émirats arabes unis, sans avoir jamais eu à subir le moindre contrôle de la part de cette banque, qui fondait sa notoriété et la confiance de ses clients sur la sécurité.

Conscients de la puissance des nouvelles technologies, les mouvements terroristes, parfois soutenus activement par certains pays – Iran, Libye, Syrie, Soudan –, ont pour but de déstabiliser les démocraties en menaçant leurs infrastructures, notamment de télécommunications. Celles de ces pays terroristes étant de faible capacité, il leur est cependant permis de mener des attaques au travers de réseaux localisés dans d’autres pays, plus puissants et difficiles à tracer. À titre d’exemple, les experts informatiques du réseau Al-Qaïda pourraient s’introduire à l’intérieur des systèmes en empruntant différents reroutages via les relais de télécommunications d’Arabie Saoudite, d’Indonésie ou du Pakistan et s’introduiraient ainsi sur les réseaux des pays occidentaux en toute tranquillité.

L’espionnage industriel demeure l’une des activités principales des entreprises effectuant une veille technologique poussée et agressive, n’hésitant pas à utiliser des moyens illégaux pour parvenir à leurs fins.

Enfin, les services de renseignement de nombreux États sont dotés de moyens très importants, et certaines équipes plus connues sous l’expression de « Red Teams » sont entièrement dédiées aux attaques, y compris contre leurs partenaires et alliés. Depuis des décennies, le célèbre réseau Échelon intercepte, à l’échelle mondiale, toutes les communications des particuliers, des entreprises et des autorités gouvernementales, sans pour autant que ces infractions puissent être portées devant des juridictions internationales.

La menace – en termes de niveaux, de potentialités d’occurrence et de risques d’impact – s’apprécie dans un contexte de crise permanente pour la domination de l’information. Les acteurs offensifs, qu’il s’agisse des agences gouvernementales, des sociétés internationales, des pirates ou des cabinets spécialisés dans la veille technologique ou le renseignement, sont engagés au sein de véritables stratégies d’attaque, soit du fort au fort, soit du faible au fort. Dans le cyberespace, la menace est asymétrique. Les agressions informatiques sont l’expression d’une situation géopolitique ; elles accompagnent les tensions et s’accroissent généralement en période de crise ou de conflit. De grandes entreprises ont subi de nombreuses agressions informatiques durant la semaine qui a suivi les attentats du 11 septembre 2001, infectant entre autres 150 000 ordinateurs grâce à des virus très sophistiqués, et causant ainsi des milliards de dollars de pertes. Conséquence paradoxale, si la coopération bilatérale ou multilatérale favorise les échanges de connaissances dans le domaine des technologies de l’information, elle constitue également un transfert de compétences dans le domaine de la menace. Coopérer, c’est en effet donner l’occasion à l’autre d’acquérir de nouvelles méthodes.

Toutes ces activités peuvent être considérées comme des actes terroristes car elles sont le fruit d’une véritable détermination à détruire des données, dévier des dossiers secrets, de l’argent ou implanter de faux messages. Avec la puissance technique et le retentissement d’Internet, les actes terroristes ont un impact international qui touche immédiatement un très large public. Les moyens des cyberterroristes sont identiques à ceux de n’importe quel pirate informatique mais sous-tendus par une idéologie. Ils sont à la fois puissants et variés, tels le « ver », défini comme un processus parasite consommant les ressources du système, le virus, qui est une infection qui se duplique en greffant son empreinte sur les programmes, les fichiers et les zones systèmes, ou encore le « cheval de Troie », programme en apparence inoffensif mais contenant une fonction illicite et cachée, généralement utilisée pour pénétrer par effraction dans un ordinateur et consulter, modifier ou détruire des informations. En outre, ces méthodes s’accompagnent le plus souvent de chantage financier.

Tout comme le terroriste préparant des attentats à la bombe, les actions du cyberterroriste engendrent un climat d’insécurité au sein des services de l’État et des entreprises. Ces actes peuvent également, par d’autres voies, nuire et « blesser » à la fois des internautes, des entreprises, des industries, des administrations et des réseaux d’infrastructures critiques. La stratégie de la cyberattaque pourrait sembler privilégier les actions de déstabilisation, conçues pour neutraliser et affaiblir le système d’information et marquées par leur seule capacité à nuire sans détruire le système de protection. Le cyberterroriste a la faculté, grâce aux outils technologiques d’Internet, d’agir de manière imprévisible tout en préservant son anonymat. Seule une surveillance permanente des réseaux permettrait de prévoir à quel moment, à partir de quel endroit, à quel degré d’intensité et par quelle méthode une cyberattaque pourrait intervenir.

Une autre menace possible pour les démocraties porte sur un engagement collectif et coordonné. L’attaque d’un État ou d’un groupe d’États par un autre, uniquement au moyen de vecteurs technologiques, est appelé, dans le jargon de la sécurité des systèmes d’information, un « cyberconflit ». Dès 1995, les experts américains ont envisagé un scénario de guerre informatique totale, plus connue sous le nom de « Pearl Harbour électronique ». Selon ce scénario, le succès d’une attaque résulterait de la combinaison des moyens employés par l’agent attaquant et de la paralysie de la capacité de réaction ou de riposte du défenseur. Une cyberattaque terroriste d’envergure ne viserait pas seulement les réseaux d’information, elle viserait l’ensemble conjugué des infrastructures critiques. Ainsi, l’énergie – production et stockage des hydrocarbures –, l’électricité, les transports, les réseaux de télécommunication, la Bourse, l’approvisionnement en eau et les services d’urgence – médecins, pompiers, police – constituent, intégrés dans une attaque plus globale, des secteurs sensibles.

L’intensité maximum d’une attaque pourrait résulter de la conjonction de trois attaques simultanées, à savoir : une véritable attaque physique traditionnelle – attentat –, avant laquelle on aurait pris soin de perturber les opérations de secours en temps réel en endommageant gravement les réseaux et infrastructures de communication et en interrompant le fonctionnement normal des infrastructures vitales – électricité, services de secours –, ce qui rendrait tout État impuissant à se défendre. Les réseaux d’Al-Qaïda se sont intéressés aux équipements qui gèrent les réseaux d’adduction d’eau, d’électricité et des services de secours. De nombreux commentateurs ont d’ailleurs perçu une analogie entre la date du 11 septembre et le numéro américain d’appel d’urgence 911. Selon plusieurs sources émanant du FBI, des experts informatiques du réseau Al-Qaïda pénétreraient actuellement des pages web afin d’y introduire des messages secrets de O. Ben Laden, destinés à l’ensemble du groupe Al-Qaïda. Depuis que les droits du site alneda.com ont expiré, car il était suspecté d’être lié à ce réseau, les cyberterroristes sont soupçonnés de violer d’autres sites leur permettant ainsi de communiquer. Cette pratique d’attaque parasitaire est appelée stéganographie, et elle constitue un mode opératoire qui permettrait aux membres d’Al-Qaïda de communiquer secrètement entre eux en glissant des pages dans les dossiers web, sans être détectés, ni par les sites Internet qu’ils piratent, ni par les services de police. Le 21 octobre 2002, une cyberattaque d’origine inconnue a bloqué 11 des 13 serveurs internationaux d’Internet, tous contrôlés par les États-Unis. Le FBI a précisé qu’il s’agissait de l’attaque la mieux structurée de l’histoire d’Internet. En effet, les serveurs ont été submergés d’une multitude de documents de manière à interrompre leur fonctionnement normal. Selon les experts, cette attaque aurait pu bloquer toute la messagerie électronique internationale ainsi que la navigation sur Internet. Les services de renseignement ne sont pas absolument certains que Al-Qaïda soit à l’origine des piratages, mais le seul fait de douter instaure un climat d’insécurité.

En outre, la perspective d’une diffusion sur un réseau mondial permet à des groupes de hackers, ou à des pirates isolés, psychologiquement fragiles ou animés d’intentions malveillantes, d’apprendre sans difficulté à fabriquer des bombes et des explosifs. Il y a quelques années, on pouvait lire que le terrorisme était la bombe atomique du pauvre. Il apparaît aujourd’hui que le cyberterrorisme participe du concept de conflit asymétrique dans le domaine informatique. Un acteur menaçant ou un adversaire, dont les capacités militaires sont insuffisantes pour affronter un État de manière conventionnelle, vont utiliser des moyens technologiques capables de lui infliger des chocs déstabilisateurs importants. Symbole de la technologie américaine, Internet est devenu l’arme du pauvre par excellence, peu coûteuse et accessible à tous. Le cyberterrorisme ne procède pas d’actions d’éclat, la diffusion des virus produit des effets retardés et l’efficacité d’une action peut être le résultat de cyberattaques répétitives qui harcèleraient littéralement l’appareil d’État. Une des caractéristiques de ces attaques est que leurs effets ne sont pas perceptibles immédiatement. Au moment où les services de l’État enregistrent l’attaque, elle a déjà eu lieu et ses effets dévastateurs se sont déjà multipliés.

Le cyberconflit est silencieux et ses effets les plus terribles et profonds ne se font ressentir qu’après l’attaque elle-même, comme les radiations nucléaires après une explosion. L’estimation de la menace nécessite une activité continue et permanente. Elle comprend des activités de renseignement et se nourrit de multiples sources, publiques – Internet – et secrètes – renseignements. Face au perfectionnement des attaques, de plus en plus nombreuses, structurées et renforcées par des réseaux de renseignement terroristes, des financements et une détermination sans faille, les agences de sécurité doivent mettre en œuvre de véritables stratégies afin d’assurer la cybersécurité.

La priorité stratégique pour toute agence de sécurité est de garantir la continuité des services publics par une assurance de confidentialité, d’intégrité, de disponibilité et d’authenticité des informations diffusées ; de créer un climat de confiance et une culture de sécurité face à une menace non militaire, non étatique, non physique, mais dont les effets sont constatés lorsqu’il est déjà trop tard. Les plus hautes autorités de l’État sont informées des risques encourus pour la sécurité nationale ou l’exercice de la souveraineté, mais il convient également de sensibiliser le citoyen à l’émergence d’une culture de sécurité, garantissant la sûreté des réseaux et des systèmes d’information et préservant les libertés publiques et individuelles. Il s’agit d’un nouveau défi à relever pour toutes les démocraties occidentales, garantes de la promotion de la confiance dans la société de l’information.