Fin 2011, le petit monde de la cyber-sécurité découvrait l’article de Thomas Rid (que nous avions interviewé ici) « Cyber War Will not Take Place », rapidement devenu l’article le plus téléchargé duJournal of Strategic Studies, et largement commenté sur internet par de nombreux experts. En substance, Rid avançait que parler de « cyber-guerre » est inapproprié parce que la guerre implique l’utilisation instrumentale de la violence physique (et donc des morts) pour obtenir des fins politiques, ce qu’aucune cyber-attaque à ce jour n’a été. Au contraire, le cyber permet de renforcer trois activités relevant de la conflictualité (mais pas de la guerre): l’espionnage, la subversion et le sabotage. Rid poursuit sa réflexion dans ce livre indispensable, qui garde le même titre que l’article d’origine, mais développe l’argument en détails.
Sans surprise, l’argument de base de l’ouvrage reste le même: la cyber-guerre n’existe pas, et elle est hautement improbable. Mais l’argument est maintenant précisé. Rid n’est pas naïf, et il sait bien que les cyber-attaques sont en augmentation, et toujours plus sophistiquées. Mais ces cyber-attaques pourraient contribuer à faire baisser la violence physique ayant des fins politiques (donc la guerre) de trois manières différentes. Tout d’abord, le cyber permet des opérations de sabotage complexes sans directement blesser physiquement les opérateurs humains de tels systèmes. Ensuite, le cyber permet de conduire des opérations d’espionnage en diminuant le risque physique lié à l’infiltration. Enfin, la subversion est rendue plus facile par la connexion permanente d’ordinateurs et de smartphones à des réseaux sociaux, ce qui permet aux personnes engagées dans des activités subversives de mobiliser facilement leurs soutiens.
Néanmoins, si le cyber permet de nouveaux modes d’action pour l’espionnage, la subversion et le sabotage, il comporte aussi un certain nombre de contraintes spécifiques. Concernant la subversion, le cyber permet effectivement d’organiser un mouvement beaucoup plus facilement, en diminuant le coût d’entrée des militants (quelques clicks suffisent pour trouver des sites militants correspondant à ses idées). Mais ceci signifie que les membres sont également beaucoup plus volatiles, ce qui diminue le rôle des dirigeants dont le contrôle sur la structure s’amenuise. Commencer un mouvement est beaucoup plus facile, mais le faire réussir est devenu plus difficile du fait de la plus grande difficulté à transformer le nombre important de sympathisants cachés derrière leurs écrans en militants actifs et prenant des risques physiques. Le cyber-espionnage a les même limitations: exfiltrer des données sans le contexte humain pour les mettre en perspective et les interpréter (par exemple, penser au « savoir tacite » existant dans toute entreprise) a finalement peu d’utilité. Obtenir des données est plus facile, mais leur utilisation reste dans ce cas très limitée: Rid avance que l’utilisation croissante du cyber comme source d’espionnage implique une augmentation concomitante du facteur humain. Il observe également que tracer la ligne de démarcation entre espionnage externe et écoute des citoyens en interne devient de plus en plus difficile, ce qui suppose un débat public sur le rôle des agences (le livre a été publié avant l’affaire Snowden). Enfin, le sabotage est rendu plus facile mais la nature du cyber-sabotage (impliquant discrétion et, éventuellement, un haut niveau de technicité comme dans le cas de Stuxnet) rend son utilisation à des fins politiques plus délicates. S’il est clair que des actes de sabotage (par exemple d’usines) sont probables dans le futur, ce ne seront pas des actes de guerre.
L’ouvrage est particulièrement convaincant grâce à la combinaison permanente entre théorie et pratique. Rid prend un soin méticuleux à définir des notions importantes telles que la guerre, la violence, les armes (ce qui lui permet de discuter la notion de « cyber-arme » et de l’opportunité d’un traité d’interdiction), la subversion, etc. Ce travail n’est pas anodin, car il est complété par une connaissance encyclopédique des cas de cyber-attaques depuis trente ans. Pour appuyer son argumentation, Rid rentre dans le détail de nombreuses cyber-attaques, montrant dans quelle mesure elles relèvent des trois catégories de subversion, espionnage et sabotage, et en discute les potentialités comme les limites. L’articulation théorie/pratique est donc particulièrement importante, et il faut saluer le travail pédagogique de Rid qui est toujours facile à comprendre même lorsqu’il évoque les détails les plus pointus de fonctionnement de codes « malicieux ». Peut-être parce qu’il est politiste et non pas informaticien de formation (et a donc dû se former aux aspects techniques), Rid accompagne son lecteur dans le déroulement d’une cyber-attaque, mais permet à chaque fois de la remettre dans une perspective politique plus large, évitant ainsi la fascination un peu « geek » pour la technique elle-même. Il faut d’ailleurs noter l’excellent chapitre sur la notion d’attribution qui la place à son niveau réel, qui est politique.
Mais après tout, « cyber-guerre » ou non, qu’importe? Les attaques surviennent, le cyber est un espace de conflit, que l’on nomme cela guerre ou autre chose, quelle importance? Ce qui pourrait sembler un débat conceptuel d’universitaire a en fait des conséquences importantes. Tout d’abord, utiliser une analogie peut être utile: elle peut être didactique et source d’inspiration, mais elle a des limites. Rid reconnaît que parler de cyber-guerre peut être utile en termes didactiques: une audience voit tout de suite le sujet abordé. Mais il avance que la notion de « cyber-guerre » est en fait beaucoup plus problématique qu’utile car elle empêche de comprendre le phénomène dans son ampleur. Pour des raisons de compétition budgétaire, l’US Air Force clame depuis 2005 qu’elle se bat désormais dans le « cinquième domaine » (le cyber), ce qui permet de situer l’origine de l’expression. Mais cette analogie est fausse pour plusieurs raisons. Tout d’abord, la violence ne s’exprime pas dans le domaine cyber, mais dans les autres domaines. Ensuite, parler de guerre pour qualifier des actes qui relèvent de l’espionnage, du sabotage ou de la subversion est aussi utile que de parler de « guerre contre l’obésité », « guerre contre la drogue », etc. C’est une métaphore, pas une réalité. De plus, le cyber-espace n’est pas un domaine séparé de l’activité militaire: l’utilisation d’ordinateurs se fond dans les autres domaines terrestres, maritimes, aériens et spatiaux. Rid rejoint ici l’idée de Laurent Henninger de la séparation entre espaces fluides et espaces solides. Enfin, le cyber-espace n’est pas un « espace »: il s’agit d’une métaphore commode (de même que l’on dit « surfer » sur le web, etc.) et prétendre « fly, fight and win » dans le cyber-espace comme le fait l’air force est simplement ridicule. A ce jour, aucune cyber-attaque n’a représenté un acte de guerre, causé la mort ou même blessé un individu. Le débat sur la cyber-sécurité est important, car il peut causer des dommages économiques, réputationels, etc. Et c’est justement car ce débat est important qu’il faut abandonner la métaphore de la cyber-guerre, qui paralyse plus qu’elle ne libère la réflexion.
Ce livre est clairement indispensable pour comprendre le débat actuel sur la cyber-guerre et remet utilement en place de nombreuses notions. Il est particulièrement recommandé pour son dialogue permanent entre théorie et pratique, permettant ainsi utilement de dégager des principes pour l’action stratégique.
Olivier Schmitt
Les lectures d'AEGES 