Pour le chef de la NSA, une meilleure cyberdéfense passe par le développement de moyens offensifs

Si vis pacem, para bellum (« Si tu veux la paix, prépare la guerre »). Ce principe bien connu, le général Keith Alexander, qui commande à la fois la National Security Agency (NSA), c’est à dire les « grandes oreilles » américaines, et l’US Cyber Command (USCYBERCOM), entend l’appliquer dans le cyberespace.

« Si votre défense consiste simplement à essayer de parer les attaques, elle ne peut pas être efficace » a-t-il en effet déclaré, le 4 octobre, à l’occasion d’un colloque à Washington. « Parfois, le gouvernement doit étudier ce qu’il faut faire pour stopper les attaques – pour les stopper avant qu’elles ne surviennent. Pour notre défense, nous devons aussi étudier des mesures offensives » a-t-il ajouté.

Et pour le chef de la NSA, une agression contre les systèmes informatiques devrait suivre les mêmes règles d’engagement qu’une attaque militaire dite « classique ». « Nous devons avoir une discussion sur ce sujet » a-t-il estimé.

Le mois dernier, Harold Koh, le conseiller juridique en chef du Département d’Etat, avait précisé la position des autorités américaines, à l’occasion d’une conférence organisée par l’USCYBERCOM à Fort Meade, dans le Maryland.

Ainsi, avait-il expliqué, pour Washington, les cyberattaques dirigées par certains pays peuvent être assimilées à un « usage de la force » et que le droit international « s’applique aux activités dans le cyberespace. » Conclusion : si un pays est agressé par une arme cybernétique, il peut répliquer dans le cadre de la légitime défense, soit en utilisant les mêmes moyens, soit en faisant appel à ses forces militaires conventionnelles.

Bien évidemment, il n’est pas question de déployer la grande armada pour des attaques en déni de service ou de simples intrusions dans les systèmes informatiques américains. En revanche, une riposte pourrait être envisagée dans le cas où des infrastructures vitales sont visées, tels que les réseaux d’électricité, d’eau potable et de téléphonie ainsi que les secteurs industriels stratégiques.

« Nous ne sommes pas préparés à une attaque majeure contre nos infrastructures vitales », qui peuvent survenir « en l’espace de quelques millisecondes » avait admis le général Alexander, lors d’un forum sur la sécurité à Aspen, dans le Colorado, cet été. « Sur une échelle de 1 à 10, je dirais que l’état de préparation des États-Unis se trouve… à 3 » avait-il ajouté.

Cela étant, les Etats-Unis ne sont pas dépourvus de capacités offensives dans le cyberespace. Que l’on songe au virus Stuxnet, lequel a visé le programme nucléaire iranien dans le cadre de l’opération « Olympic Games« , menée conjointement avec Israël.

« Le président et le secrétaire (à la Défense) ont été clairs là-dessus, les cyberattaques constitutent un domaine que nous devons surveiller et réévaluer constamment, ainsi que nous devons tenter d’améliorer l’éventail des options dont nous disponsons dans le cyberespace » avait affirmé le colonel John Kirby, un porte-parole du Pentagone, en réaction à ces révélations faites en juin par la presse américaine.

Par ailleurs, la Darpa, l’agence de recherche et de développement de l’armée américaine, avait indiqué, en novembre 2011, travailler à la mise au point de cyberarmes, tant défensives qu’offensives. « Notre objectif premier est d’éviter une guerre. Cela se fait en partie en se préparant à cette éventualité. Mais pour parer à un échec en matière de prévention, nous devons prendre nos responsabilités en nous préparant à répliquer » avait expliqué sa directrice d’alors, Regina Dugan, aujourd’hui passée chez Google.

Plus généralement, des armes cybernétiques peuvent également avoir leur utilité sur un théâtre d’opérations, à l’heure de l’utilisation sans cesse accrue des drones et de la numérisation de l’espace de bataille (NEB). De telles capacités offensives peuvent être employées pour prendre le contrôle d’engins pilotés à distance ou encore à envoyer de fausses données à des batteries de défense sol-air, comme cela a été étudié par le Pentagone au moment de l’intervention de l’Otan en Libye, l’an passé.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]