Les échos provoqués par l’explosion Flame et l’annonce de paternité de Stuxnet n’en finissent pas de rebondir. Passé la première vague d’émotion, les Experts Patentés parviennent à rassembler leurs esprits et prennent conscience des problèmes cornéliens que pose l’arrivée officielle de ces cyber-armes. A commencer par la perte de confiance des usagers envers les vendeurs d’outils de sécurité… c’est donc à la fois sur l’air du « à qui se fier » et « mais qui donc va accepter de payer mes honoraires maintenant que les militaires ont prouvé ma très relative efficacité » que différents éditorialistes reviennent sur la question.
Pourtant, la marge de manœuvre des éditeurs du monde de la sécurité est étroite. Des années durant, ces industriels ont surfé sur la vague anxiogène des cybervilains, joué à fond la carte de l’engagement politique, des cyberczars et des grandes alertes sur les APT, les Spywares, les Titan Rain et autres Dragon-chose. Comment ne pas se dédire aujourd’hui et faire comprendre qu’il existe des frontières, que non, après tout, le danger n’est pas si important, et que l’intervention de l’Armée n’est pas nécessaire ? Trop tard. Le loup est dans la bergerie, il n’a pas l’intention d’en sortir, et ses méthodes sentent le fauve.
Comme précédemment publié dans les colonnes de Cnis, l’usage de certificats forgés (tout comme le casse impuni de l’Université de Taiwan qui a permis l’exploitation de ces certificats) a pratiquement napalmisé l’image de marque des « autorités de certification ». Sean, sur le blog de F-Secure, diffuse les écrans de sa présentation traitant des récentes affaires utilisant un certificat MD5 forgé… Le dernier utilisateur en date étant Flame.
Passons sur le fait que les Stuxnet, Flame, Duqu ont été découverts « par hasard », fruit d’une erreur de manipulation dans la plupart des cas, et généralement plusieurs années après leur « date de première mise en circulation », montrant à la fois et l’efficacité brutale des militaires, et leur compétence, et surtout la cécité du « security business » durant plus de 2 ans au moins. Car, pour l’homme de la rue, ne pas voir ce genre de virus des années durant, c’est soit de l’incompétence, soit de la collaboration.
Alors les experts attachés à une entreprise tentent de recoller les pots cassés. Mikko Hyppönen envisage d’écrire une lettre au Président Obama, rapporte l’International Business Times. Make love, not cyberwar. Les chercheurs indépendants ont une vision un peu moins diplomatique. Ainsi l’éditorial de Kurt Wismer qui titre « De l’impact de Flame sur la confiance » : en parvenant à détourner le mécanisme de mise à jour automatique de Windows, Flame a sérieusement entamé la confiance que l’on pouvait témoigner envers Microsoft et tous les éditeurs proposant des outils semblables, explique Wismer. Et alors ? cette confiance n’est en fait qu’une forme de behaviorisme, de refus de voir la réalité, et de reporter sur un tiers le soin de prendre en charge notre propre sécurité. Flame a paradoxalement fait du bon boulot en nous ouvrant les yeux. « We placed trust in microsoft’s code, in the automaton they designed, not because it was trustworthy, but because it was more convenient ». Trustworthy computing a encouragé une forme de paresse intellectuelle coupable. Notons au passage que cela fait des années que les grands comptes et spécialistes sécurité Français dénoncent ces formidables Botnets que sont Windows Update et ses proches cousins. Sont-ils toujours traités de Cassandre ?
Cela va-t-il changer quoi que ce soit dans un proche avenir ? Certainement pas. La majorité des utilisateurs, la majorité des Directions de grands groupes industriels, ne souhaite pas voir cette vérité qui dérange. D’ailleurs, Bruce Schneier lui-même, qui nous avait pourtant habitué à prendre le contrepied des idées communes, défend plus ou moins la même position que celle de Mikko Hyppönen, nous apprend Network World. Mais Schneier reste Schneier. Dans un billet publié dans les colonnes de U.S. News and World Report et repris sur son blog, le fondateur de Counterpane explique : Non, nous ne sommes pas en état de cyberguerre. Tout çà relève de la psychose que tente de répandre un quarteron de marchands de sécurité et autres sous-traitants vivants sur les budgets du Ministère de la Défense. Mais le fait que l’armée dispose désormais et quasi officiellement d’armes numériques va déstabiliser Internet et la cyberéconomie du monde, explique Schneier. Tout çà est comparable à la course aux armements nucléaires. Le seul moyen de contenir cette escalade, c’est de demander de manière urgente que l’on signe, entre grandes cyberpuissances, des traités SALT de limitation des cyber-arsenaux. Traité accompagné d’un contrôle des usages et des procédures d’usage, afin d’éviter qu’un Docteur Folamour ou qu’un Colonel paranoïaque ne viennent par erreur appuyer sur le bouton rouge : « it is only a matter of time before something big happens, perhaps by the rash actions of a low-level military officer » prévient le Chuck Norris de la Sécurité.
L’on pourra objecter deux choses à cette argumentation. Les cyber-armes conventionnelles (Stuxnet-Flame-DuQu), relèvent plus de l’arsenal de guérilla et des méthodes de barbouzes que de la guerre ouverte, franche et joyeuse. A-t-on jamais vu signé le moindre accord visant à la réduction des espions dans un pays ou la diminution des attaques d’embuscade par des commandos secrets ? Les cyberguerres se déroulent sur un terrain autre que celui des nations qui les mènent : le terrain, c’est Internet et les machines de l’ennemi. Stuxnet n’est que la forme virtualisée des mercenaires, des black ops, des gendarmes katangais, des plongeurs anti-Rainbow Warrior, de tous ces chiens de guerre sauce Mission : Impossible dont on nie la connaissance si par hasard ils se font prendre. Leur nature « Spéciale » fait qu’ils ne peuvent faire l’objet d’aucun traité de régulation.
L’autre point important porte sur l’illusion d’un tel traité si jamais il parvenait à voir le jour. Le pouvoir intimidant de la violence, les intérêts financiers, la lâcheté de certains politiques, la surdité sélective aux sons émis par les experts et analystes politiques et techniques sont des constantes dans l’histoire de l’humanité. La SDN est morte étouffée par ses rêves, et l’on ne se souvient d’un traité historique que parce qu’il a été violé à plus ou moins long terme après sa signature. De Cateau-Cambrésis à l’Edit de Nantes, du Traité de Verdun (848) à celui de Péronne (celui signé par Louis XI), il suffit d’un morceau de papier pour deviner avec précision de quelle manière débuteront les hostilités.
Après tout, l’idée d’un traité de non-prolifération des cyberarmes n’est peut-être pas si mauvaise : elle permettrait au moins de coucher sur le papier les dangers auxquels il faut se préparer.