Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Un article de John Arquilla :
From Blitzkrieg to Bitskrieg : The Military Encounter with Computers
in Communications of the ACM d’octobre 2011
Article mis en ligne le 30 octobre 2011

par Laurent Bloch

Sommaire-

Le tour d’horizon panoramique de John Arquilla, professeur à l’École navale
supérieure américaine de Monterey (Californie), permet de se faire une
idée des concepts et des doctrines en circulation hier et aujourd’hui
à propos de la guerre dans le cyberespace ainsi que, plus
généralement, de l’information comme cible et de l’usage de
l’informatique dans un conflit. Cette analyse pourra être complétée
(et contestée) par la lecture d’un article de Bruce Schneier intitulé
The Threat of Cyberwar Has Been Grossly Exaggerated et
d’un rapport de Martin C. Libicki, de la Rand Corporation,
Cyberdeterrence and Cyberwar, dont vous trouverez
sur ce site-même une brève note de lecture.

Le calcul automatique dans la guerre

Les premiers exemples d’interventions décisives du calcul automatique
en situation de guerre remontent au dernier conflit mondial, avec des
applications au calcul balistique, au chiffrement et à la
cryptanalyse. L’exemple le plus significatif est celui de la guerre
du chiffre
entre la marine allemande, qui chiffrait ses
communications avec les sous-marins en opération dans l’Atlantique au
moyen de machines électromécaniques portables Enigma, et le centre de
cryptanalyse britannique de Bletchley
Park
, où, sur la base
des travaux que les logiciens polonais Marian
Rejewski
, Jerzy
Rozycki
et Henryk
Zygalski
avaient
menés pendant les années 1930, les cryptanalystes britanniques,
à la tête desquels Alan Turing, conçurent le calculateur Colossus qui leur
permettait de déchiffrer les communications allemandes codées
par Enigma. Si l’on observe la courbe des destructions de cargos
anglais ou américains par les sous-marins allemands, on remarque
qu’elle a des pics périodiques, qui correspondent aux dates auxquelles
les Allemands changeaient leur code, ce après quoi les cryptanalystes
britanniques mettaient un certain temps à le déchiffrer. Lorsque l’on
sait l’importance du soutien matériel américain à l’effort de guerre
britannique, il n’est guère de doute que cette guerre du chiffre a eu
un rôle tout sauf anecdotique dans le déroulement des hostilités.

Arquilla mentionne au début de son article une anecdote significative :
lors de l’offensive américaine contre les Talibans afghans à la fin de
2001, les commandants de compagnie sur le terrain avaient créé une
page Web qui leur servait à échanger rapidement des informations
tactiques et à coordonner les interventions aériennes, avec un grand
succès. Après un certain temps, cette page Web fut soumise à la
supervision de la hiérarchie, ce qui eut pour effet de la vider de toute
vitalité et d’en faire un système bureaucratique inutile. Les leçons de
cette histoire sont au moins deux : la communication informatique
interactive confère à ceux qui l’utilisent une rapidité et une précision
de réaction considérables, que l’ossification bureaucratique peut
anéantir d’un coup.

Informatique stratégique ou tactique ?

L’informatique peut avoir plusieurs types d’usages militaires : arme
opérationnelle tactique du champ de bataille comme dans l’exemple
ci-dessus, ou vecteur stratégique d’une guerre de l’information. La
fin du XXe siècle a vu s’amorcer un débat autour de ce
dernier usage : la guerre de l’information peut-elle produire par ses
propres moyens des effets stratégiques massifs propres à obtenir la
victoire, à l’instar d’une attaque par des armes de destruction
massive, nucléaires, chimiques ou biologiques ? Ou ne peut-elle
prétendre qu’à des effets de désorganisation (disruption) massive
des infrastructures de l’adversaire, rendu ainsi plus vulnérable à
d’autres moyens militaires propres à obtenir la victoire, ce qui se
rapprocherait de l’effet des bombardements aériens de la seconde
guerre mondiale ?

Les systèmes d’information modernes ont augmenté l’efficacité des
forces armées qui les emploient, mais ils les rendent par là-même
plus vulnérables à la désorganisation qui résulterait de leur mise
hors service. L’histoire militaire est riche d’exemples où une
armée moins puissante mais mieux informée a obtenu la victoire
sur un adversaire supérieur en nombre.

La controverse entre les tenants du paradigme de l’attaque
informationnelle stratégique et ceux de la révolution informatique du
champ de bataille fait rage depuis une vingtaine d’années dans les
milieux militaires et politiques américains. Les premiers, en agitant
la menace d’un « Pearl Harbour numérique », éventuellement provoqué
par ces cyberterroristes, ont permis la naissance de toute une
industrie de la défense informatique.

Les tenants de la cyberguerre informatisée, quant à eux, ont gagné
moins de suffrages tant parmi les dirigeants politiques que parmi les
militaires américains de haut rang, qui préfèrent l’idée d’anéantir
l’ennemi au moyen de forces écrasantes à celle de le réduire à merci
en le désorganisant par des moyens plus subtils. Mais on comprend que
c’est cette dernière option qui a les faveurs de l’auteur. On pense au
récit par le colonel T.E. Lawrence de la guérilla arabe contre le
chemin de fer du Hedjaz, tenu par les Ottomans, notamment pour le
stratagème consistant à ne pas chasser les Turcs de Médine pour les
contraindre à y maintenir le gros de leurs forces, ce qui donnait du
champ aux attaques en rase campagne (enfin, en ras désert).

Les amiraux Arthur Cebrowski et William Owens ont imaginé, au
cours de ce débat, des systèmes d’armes basés sur des réseaux
finement maillés de capteurs et de plates-formes de tir, le tout
commandé et coordonné par des échanges de données informatisés
en temps réel.

L’équilibre entre l’offensive et la défensive

La priorité va-t-elle à l’offensive ou à la défensive ? Ce débat est
récurrent, et il a lieu également pour ce qui a trait à la guerre
informatique. Arquilla nous rappelle qu’en 1914 les stratèges
pensaient que la mitrailleuse, l’artillerie moderne et le transport
de troupes par chemin de fer favoriseraient l’offensive : la
guerre de tranchées illustra la prééminence de la défensive.
Pour préparer la guerre suivante, on pencha pour la défensive
et on construisit la ligne Maginot : l’aviation d’assaut et les
chars assurèrent la suprématie de l’offensive.

Prévoir ce qu’il en sera pour la guerre dans l’univers virtuel est
aussi difficile que dans le monde physique. À ce jour les tenants de
l’offensive tiennent le haut du pavé, mais ils sont contestés par
exemple par Martin C. Libicki, cité plus haut (Cyberdeterrence and
Cyberwar
,
cf. aussi sur ce site une note de lecture),
qui pense que des offensives lancées dans le cyberespace auront
du mal à produire des résultats stratégiques.

La défense des actifs informatiques suscite également des controverses :
les partisans de la philosophie du coupe-feu (firewall) en
tiennent pour une défense périmétrique, éventuellement assurée en
profondeur
, à l’abri de laquelle les données et les traitements
seraient en sûreté. Leurs opposants affirment, non sans de forts
arguments et des exemples vécus pour les corroborer, que de toute
façon un jour ou l’autre les intrus réussiront à franchir les
barrières, et que le salut réside dans le chiffrement des données et
dans leur dispersion sur le réseau. Les premiers peuvent rétorquer aux
seconds qu’un jour ou l’autre les intrus se procureront les clés
privées qui leur permettront de déchiffrer les données... Enfin à ce
jour ce sont les adeptes du coupe-feu qui ont été démentis par les
faits, avec des pénétrations réussies de systèmes d’informations très
protégés, comme le Navy Marine Corps Intranet, et ce par de banals
virus de type ver comme ceux de l’ordinateur de l’homme de la rue. Le
cas de l’attaque contre les sytèmes de pilotage des installations
nucléaire iraniennes par le ver Stuxnet est un
autre exemple, d’autant plus significatif qu’il a atteint et
profondément désorganisé (disrupting) des systèmes non reliés à
l’Internet, sans doute au moyen d’un vecteur aussi banal qu’une
clé USB, ce qui ne va pas sans élargir considérablement la liste
des entités dont il faudrait se méfier.

Cyberguerres récentes, cyberdissuasion, cyberreprésailles

Arquilla examine les attaques de 2007 contre l’Estonie et de 2008
contre la Géorgie
, qui ont contraint tous les
observateurs à prendre au sérieux la possibilité de guerre dans le
cyberespace. Le moins que l’on puisse dire est que ces opérations,
même si elles n’ont jamais été revendiquées ni reconnues par la
Russie, donnent l’occasion de marquer un point aux experts qui
penchent pour la thèse « avantage à l’offensive ». En effet, comme
je l’ai noté dans mon compte-rendu du texte de Libicki, qui
me semble ici plus convaincant qu’Arquilla, la contre-attaque, les
représailles et la dissuasion sont d’autant plus problématiques dans
le cyberespace que souvent, non seulement vous ne savez pas qui
vous a attaqué, mais vous ne savez même pas que vous êtes attaqué !
Arquilla répond à ce type d’objections en évoquant la possibilité
d’accords issus d’un dialogue entre nations raisonnables et de
mise au point de normes éthiques, mais il est lui-même réservé
quant à l’efficacité de telles démarches, notamment lorsque sont
en cause des acteurs non-étatiques, tels que terroristes ou mafias.

Arquilla rappelle les doctrines nucléaires américaines du temps de la
guerre froide : dans un premier temps celle des « représailles
massives », à laquelle succéda celle de la « destruction mutuelle
garantie ». Rien de tout cela ne semble pouvoir être transposé
facilement dans le cyberespace. La grande facilité de lancement d’une
cyberoffensive accroît la tentation, pour celui qui se sent menacé,
d’une action préemptive, voire préventive.

Certains experts, nous dit Arquilla, émettent l’idée que la guerre par
des moyens informatiques pourrait avoir des justifications morales,
même pour celui qui prendrait l’initiative de déclencher le conflit,
en cela qu’elle permettrait de désorganiser l’adversaire et ainsi de
le vaincre tout en lui imposant moins de pertes humaines ou
matérielles. L’auteur réfute cette thèse en notant que la ligne de
conduite ainsi suggérée risque fort de ne pas donner les résultats
espérés (reddition de l’adversaire) dans une situation d’escalade.
En effet, un adversaire qui se sentirait acculé à la défaite par des
cyberattaques qui désorganiseraient ses forces pourrait très bien
riposter par des moyens conventionnels, voire au moyen d’armes
de destruction massive.

Pour conclure, on peut noter que l’informatisation de la guerre oblige
à une remise à plat de beaucoup de concepts traditionnels : attaque
stratégique, dissuasion, contrôle des armements, soutien rapproché sur
le champ de bataille, morale de la « guerre juste ». Deux chercheurs
de la London School of Economics, Peter Sommer et Ian Brown, ont
écrit, dans un rapport de l’OCDE de 2011, « la cyberguerre pure
... est hautement improbable. [Mais] dans pratiquement toutes les
guerres à venir ... les dirigeants politiques doivent s’attendre à
l’usage de cyberarmements ... en conjonction avec des armements
conventionnels à effets physiques. »